Droppers gefunden, was ist das?

myrtille · 26.08.2007, 19:04

Du hast innerhalb von 20 Minuten deine Platte formatiert und Vista neuaufgespielt? Irgendwie mag ich das nicht glauben.

Magst du mal genauer erklären, was du getan hast? Bzw wie du die Festplatte formatiert hast?

Ja es gibt Trojaner die sich per USB verbreiten, danach sah es in deinem Log aber eigentlich nicht aus.

lg myrtille

ashna · 26.08.2007, 19:09

Mit dem Recovery-Manager. Mit dem habe ich meine Wiederherstellungs-Disk gemacht.
Dann habe ich Systemwiederherstellung, und dann Wiederherstellung auf Auslieferungszustand gedrückt.
Der hat formatiert, habe ich gelesen. Aber ehrlich gesagt ging das selbst mir zu schnell.
Habe auch nur die Systempartition neu formatiert.
Was verkehrt?

myrtille · 26.08.2007, 19:23

Wo hast du das denn gelesen?

Es ist durchaus möglich, dass das alles richtig durchgelaufen ist, du hast nur in dem Fall kein System neuinstalliert, sondern ein Image aufgespielt. Das ist allerdings genauso sicher.

Ich kenne mich mit Vista und vor allem mit Vista absichern nicht aus. Kann dir da jetzt nicht wirklich helfen... allgemein gilt aber, das was ich auch hier geschrieben hab:

Zitat:

Allgemein ist zu empfehlen:

Alternative Software zu benutzen. Statt IE Firefox und Opera, statt Outlook Thunderbird, statt ICQ6 Miranda oder Trillian. Das liegt daran, dass die Microsoftprodukte immernoch marktführend sind und es einfach interessanter ist 60% der Internetuser infizieren zu können, als zb die Nische der Trillianuser, die evtl 5-10% ausmachen.
IMMER (!) alle Programme aktualisieren. Eine veraltete Firewall ist nichts wert, ein veraltetes Programm auf dem Rechner häufig eine schriftliche Einladung für Viren und Trojaner.
Vorsichtig bleiben. Alternative Software ja, aber nichts dem man nicht trauen kann. Lade keine Software von dir komplett unbekannten Seiten (zb goldencodecs.com, morefreesoftware.com etc namen ausgedacht, kein zusammenhang mit evtl real existierenden Seiten) und benutze kein p2p um an Software (oder sonst was) zu kommen. Bist du unsicher, ob das geladene Programm sauber ist, dann lade den Installer zb bei virustotal hoch und lass ihn dort überprüfen.
Keine unbekannten Dateien annehmen und öffnen, weder per Mail (daher stammte vermutlich der Bankos) noch per MSN/ICQ/Instant Messenger
Wenn eine Seite dubios aussieht und versucht Dateien auf deinem Rechner zu installieren (sei es zum Video abspielen oder sonstwas), dann vertrau deinem Gefühl und verschwinde. Die Chance, dass die Seite doch nicht bösartig ist, ist verschwindend gering.

Wenn du das alles respektierst, kann eigentlich nicht mehr viel schief gehen und du solltest die ganzen empfohlenen Schutzprogramme nicht brauchen.

ashna · 26.08.2007, 19:32

Danke dir myrtille.

Mein Browser ist Firefox

, mein email-Programm ist Thunderbird

.Als Zusatz habe ich noch die Sandboxie

.
Muss nur leider zugeben, dass ich mir von Youtube Videos gezogen habe.Das war wohl das Verkehrteste,was ich tun konnte.

Diese schädlichen Sachen, wenn die auf Partition D sind und ich ein sauberes Programm auf D aufmache, kann das dann auch Partitionsübergreifend hantieren?

Noch ein schönen Abend, und nochmals Danke für deine Hilfe.

myrtille · 26.08.2007, 19:48

Die Trojaner arbeiten vollkommen unabhängig von dem was du auf dem System tust, wenn du auf D nen Programm aufrufst ist das dem vollkommen schnuppe.
Wenn sich der Trojaner sich ausbreiten will tut er das auch so.

Leider lässt sich aus deinen Logs nicht so recht erkennen was da los war. 2 Meldungen waren heuristisch sprich nur "gut geraten" für den 3. finde ich keinerlei Informationen. Da kann ich dir so auch nicht weiterhelfen.

Man kann viel blöderes machen als youtubevideos runterladen.

Glaub mir. Vor allem wenn man schon so schön alternative Browser und Sandboxie nutzt. (Aber trotzdem nicht in Sicherheit wiegen, die meisten Infektionen geschehen durch Leichtsinnigkeit und weil man sich zu sicher fühlt.)

Ich denke auch nicht, dass das der Ursprung deiner evtl Infektion war. Aber das lässt sich jetzt auch nimmer rausfinden.

lg myrtille

ashna · 27.08.2007, 18:49

Sorry, wusste nicht,dass ich das im gleichen Thread posten kann/soll.Ich geb einfach mein neues Hijack-LogfileLogfile of Trend Micro HijackThis v2.0.2Scan saved at 19:52:28, on 27.08.2007Platform: Windows Vista (WinNT 6.00.1904)MSIE: Internet Explorer v7.00 (7.00.6000.16386)Boot mode: NormalRunning processes:c:\Program Files\Bioscrypt\VeriSoft\Bin\AsGHost.exeC:\Windows\Explorer.EXEC:\Program Files\Windows Defender\MSASCui.exeC:\Program Files\Motorola\SMSERIAL\sm56hlpr.exeC:\Program Files\Synaptics\SynTP\SynTPEnh.exeC:\WINDOWS\RtHDVCpl.exeC:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exeC:\Program Files\Common Files\Symantec Shared\ccApp.exeC:\Program Files\HP\QuickPlay\QPService.exeC:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exeC:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exeC:\WINDOWS\System32\rundll32.exeC:\WINDOWS\System32\rundll32.exeC:\WINDOWS\System32\wpcumi.exeC:\Program Files\Windows Sidebar\sidebar.exeC:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exeC:\Windows\system32\taskeng.exeC:\Program Files\Hewlett-Packard\Shared\HpqToaster.exeC:\Windows\system32\notepad.exeC:\Users\roshni\Desktop\hijack\prüfung.com.exeC:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exeC:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exeC:\Program Files\Vodafone\Vodafone Mobile Connect\WLANClient\WLanClient.exeC:\Program Files\Internet Explorer\ieuser.exeC:\Program Files\Internet Explorer\iexplore.exeC:\Users\roshni\AppData\Local\Temp\mexe.comC:\Windows\system32\notepad.exeR1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blankR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptopR1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=73&bd=Pavilion&pf=laptopR0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhostO2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dllO2 - BHO: VeriSoft Access Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Program Files\Bioscrypt\VeriSoft\Bin\ItIEAddIn.dllO3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dllO4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hideO4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exeO4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exeO4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exeO4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exeO4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exeO4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exeO4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exeO4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStartO4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartupO4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInitO4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\BIOSCR~1\VeriSoft\Bin\ASTSVCC.dll,RegisterModuleO4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exeO4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRunO4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -schedulerO4 - HKCU\..\Run: [MobileConnect.EXE] C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXEO4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dllO9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dllO9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLLO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO10 - Unknown file in Winsock LSP: bmnet.dllO10 - Unknown file in Winsock LSP: bmnet.dllO10 - Unknown file in Winsock LSP: bmnet.dllO10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dllO13 - Gopher Prefix: O17 - HKLM\System\CCS\Services\Tcpip\..\{F9ACC573-C89D-47FD-883B-B48493AD3F7A}: NameServer = 139.7.30.125 139.7.30.126O20 - AppInit_DLLs: APSHook.dllO23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exeO23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\Windows\system32\bmwebcfg.exeO23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exeO23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exeO23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exeO23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exeO23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exeO23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exeO23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exeO23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exeO23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exeO23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exeO23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exeO23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXEO23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exeO23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exeO23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exeO23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe--End of file - 8758 bytesund hier noch den EscanMon Aug 27 02:12:45 2007 => Offending file found: C:\Users\roshni\AppData\Local\Temp\symlcsv1.exeMon Aug 27 02:12:45 2007 => System found infected with freespyscannerandremover Corrupted Adware/Spyware (symlcsv1.exe)! Action taken: Keine Aktion vorgenommen. Mon Aug 27 02:12:45 2007 => Offending file found: C:\Users\roshni\AppData\Local\temp\symlcsv1.exeMon Aug 27 02:12:45 2007 => System found infected with freespyscannerandremover Corrupted Adware/Spyware (symlcsv1.exe)! Action taken: Keine Aktion vorgenommen. Mon Aug 27 02:12:53 2007 => Checking MountPoints2 Registry Key...Mon Aug 27 02:12:53 2007 => Executable Command Found in {4f57e3f1-5422-11dc-81b5-001b2445f68e}\shell\Autoplay\DropTarget\AutoRun\command: H:\PortableApps\PortableAppsMenu\PortableAppsMenu.exeMon Aug 27 02:12:53 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f57e3f1-5422-11dc-81b5-001b2445f68e} !!!Mon Aug 27 02:12:53 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.Damit er das löschen kann, sollte ich die Vollversion kaufen.Was kann ich noch machen?Hatte alles schon mal per Hand und Registry gelöscht.Wenn ich es denn richtig gemacht habe.Bitte helft mir.

ashna · 27.08.2007, 18:54

Man, das sieht ja scheußlich aus. Irgendwie krieg ich garnichts mehr gebacken. Tut mir leid, ich hoffe, ihr könnt es einigermaßen entziffern.

myrtille · 27.08.2007, 19:10

Nee... ehrlich gesagt, seh ich das nicht ein, dass jetzt auseinanderzuklamüsern.

Erstelle bitte einfach ein neues HJT-Log und poste das hier. Du kannst mir "Voransicht" sehen wie dein Posting am Schluss aussehen wird.

lg myrtille

ashna · 27.08.2007, 19:34

Okay.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:52:28, on 27.08.2007
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16386)
Boot mode: Normal

Running processes:
c:\Program Files\Bioscrypt\VeriSoft\Bin\AsGHost.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\RtHDVCpl.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Program Files\HP\QuickPlay\QPService.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
C:\Program Files\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\System32\wpcumi.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe
C:\Windows\system32\notepad.exe
C:\Users\roshni\Desktop\hijack\prüfung.com.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\Optimization Client\bmctl.exe
C:\Program Files\Vodafone\Vodafone Mobile Connect\WLANClient\WLanClient.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Users\roshni\AppData\Local\Temp\mexe.com
C:\Windows\system32\notepad.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Yahoo! Deutschland
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = Yahoo! Deutschland
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll
O2 - BHO: VeriSoft Access Manager - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - c:\Program Files\Bioscrypt\VeriSoft\Bin\ItIEAddIn.dll
O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - c:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [SMSERIAL] C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Program Files\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [ccApp] "c:\Program Files\Common Files\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [QPService] "C:\Program Files\HP\QuickPlay\QPService.exe"
O4 - HKLM\..\Run: [HP Health Check Scheduler] C:\Program Files\Hewlett-Packard\HP Health Check\HPHC_Scheduler.exe
O4 - HKLM\..\Run: [hpWirelessAssistant] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe
O4 - HKLM\..\Run: [WAWifiMessage] %ProgramFiles%\Hewlett-Packard\HP Wireless Assistant\WiFiMsg.exe
O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe c:\PROGRA~1\BIOSCR~1\VeriSoft\Bin\ASTSVCC.dll,RegisterModule
O4 - HKLM\..\Run: [WPCUMI] C:\Windows\system32\WpcUmi.exe
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ISUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler
O4 - HKCU\..\Run: [MobileConnect.EXE] C:\Program Files\Vodafone\Vodafone Mobile Connect\Bin\MobileConnect.EXE
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: bmnet.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9ACC573-C89D-47FD-883B-B48493AD3F7A}: NameServer = 139.7.30.125 139.7.30.126
O20 - AppInit_DLLs: APSHook.dll
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Bytemobile Web Configurator (bmwebcfg) - Bytemobile, Inc. - C:\Windows\system32\bmwebcfg.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\HP\QuickPlay\Kernel\TV\CLSched.exe
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
O23 - Service: COM Host (comHost) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe
O23 - Service: HP Health Check Service - Hewlett-Packard - C:\Program Files\Hewlett-Packard\HP Health Check\hphc_service.exe
O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\IAANTMon.exe
O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - c:\Program Files\Norton Internet Security\isPwdSvc.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe
O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

--
End of file - 8758 bytes

ashna · 27.08.2007, 19:38

und hier noch der Escan

Mon Aug 27 02:19:26 2007 => Offending file found: C:\Users\roshni\AppData\Local\Temp\symlcsv1.exe
Mon Aug 27 02:19:26 2007 => System found infected with freespyscannerandremover Corrupted Adware/Spyware (symlcsv1.exe)! Action taken: Keine Aktion vorgenommen.

Mon Aug 27 02:19:26 2007 => Offending file found: C:\Users\roshni\AppData\Local\temp\symlcsv1.exe
Mon Aug 27 02:19:26 2007 => System found infected with freespyscannerandremover Corrupted Adware/Spyware (symlcsv1.exe)! Action taken: Keine Aktion vorgenommen.

Mon Aug 27 02:19:32 2007 => Checking MountPoints2 Registry Key...
Mon Aug 27 02:19:32 2007 => Executable Command Found in {4f57e3f1-5422-11dc-81b5-001b2445f68e}\shell\Autoplay\DropTarget\AutoRun\command: H:\PortableApps\PortableAppsMenu\PortableAppsMenu.exe
Mon Aug 27 02:19:32 2007 => Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{4f57e3f1-5422-11dc-81b5-001b2445f68e} !!!
Mon Aug 27 02:19:32 2007 => Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

myrtille · 27.08.2007, 19:49

Hi,
dein HJT-Log ist sauber.

Die Meldungen von eScan kenne ich nicht, allerdings gehe ich davon aus, dass es sich um Fehlalarme handelt.

Lade bitte folgende Datei mal bei virustotal hoch um sicherzugehen:

Zitat:

C:\Users\roshni\AppData\Local\Temp\symlcsv1.exe

Die Fujackmeldung hingegen kenne ich und das ist definitiv unbedenklich.

lg myrtille

ashna · 27.08.2007, 20:01

Das ist von Symatek Norton...
Habe das Programm entfernt.Ist allerdings nicht restlos weg.Die exe ist nicht zu finden,sondern das hier

SymLCSVC als Anwendung deklariert,
die nicht mehr funktioniert.

Muss ich jetzt in die Rergistry?

ashna · 27.08.2007, 20:18

Also Virus Total hat nix zu meckern. Bin ich jetzt sauber?

Äm,noch was anderes.

Mein AV-Programm "Antivir" hat das Hijack-Programm in Quarantäne genommen. Habe die Originale in "prüfung.com" umbenannt.
In Quarantäne steht die jetzt als "prüfung.com.exe.

Kann ich die wieder rauslassen,oder soll ich die lieber löschen?

myrtille · 27.08.2007, 22:13

Ja, wenn bei Virustotal niemand meckert dürfte alles ok sein.

Temp steht übrigens für "temporärer Ordner", ist also für Dateien gedacht, die nur temporär, bzw kurzfristig gebraucht werden und danach wieder gelöscht werden können. Solltest du die Datie doch löschen, dürfte auch nichts schlimmes passieren.

Norton stellt mE einen Uninstaller zur Verfügung der sein Programm komplett entfernt. Allerdings habe ich dazu keinen Link.

Mit welcher Meldung hat Antivir HijackThis denn verschoben? Und wann? Als du es in pruefung.com umbenannt hast, oder shcon vorher?

Hijackthis ist sauber, da besteht absolut keine Gefahr. Sollte Antivir HJT jedoch immer als Virus erkennen müsste man Antivir informieren.

lg myrtille

ashna · 05.09.2007, 20:06

Hallo nochmal,

also ich such Hilfe für eine Bekannte. Sie hat sich ein Trojaner eingefangen, laut Meldung von Spybot. Leider kann ich da nicht weiter helfen. Ich bitte euch um Hilfe.
Ist mit einer alten Version von Hijack gemacht. Könnte vierlleicht trotzdem jemand etwas dazu sagen?
Wäre es sinnvoll neu aufzusetzen? Sie weiss nicht, wie lange der schon sein Unwesen treibt.
Bitte helft, wer kann.
Hier das Logfile

Logfile of HijackThis v1.99.1
Scan saved at 15:48:47, on 05.09.2007
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.50 (5.50.4134.0100)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\SCHEDM.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\RUNDLL32.EXE
C:\WINDOWS\SYSTEM\USBMONIT.EXE
C:\WINDOWS\SYSTEM\LEXBCES.EXE
C:\PROGRAMME\ANTIVIR PERSONALEDITION CLASSIC\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\RPCSS.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\TOADIMON.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\SYSTEM\LEXPPS.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
F:\HIJACK\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [LexStart] lexstart.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Gene USB Monitor] C:\WINDOWS\SYSTEM\USBMonit.exe
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\PROGRA~1\MESSEN~1\MSMSGS.EXE
O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll
O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll
O12 - Plugin for .aiff: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll

Danke.

26.08.2007, 19:04	#16
myrtille /// TB-Ausbilder	Droppers gefunden, was ist das? Du hast innerhalb von 20 Minuten deine Platte formatiert und Vista neuaufgespielt? Irgendwie mag ich das nicht glauben. Magst du mal genauer erklären, was du getan hast? Bzw wie du die Festplatte formatiert hast? Ja es gibt Trojaner die sich per USB verbreiten, danach sah es in deinem Log aber eigentlich nicht aus. lg myrtille

27.08.2007, 19:10	#23
myrtille /// TB-Ausbilder	Droppers gefunden, was ist das? Nee... ehrlich gesagt, seh ich das nicht ein, dass jetzt auseinanderzuklamüsern. Erstelle bitte einfach ein neues HJT-Log und poste das hier. Du kannst mir "Voransicht" sehen wie dein Posting am Schluss aussehen wird. lg myrtille

Droppers gefunden, was ist das?

Log-Analyse und Auswertung: Droppers gefunden, was ist das?