| |
| |||||||
Log-Analyse und Auswertung: Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken.Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
01.09.2007, 09:32
| #1 |
| |  Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. Hallo zusammen, in der letzten Woche hatte ich Probleme mit einem Smitfraud der Variante "BraveSentry". Der Thread http://www.trojaner-board.de/42725-bitte-hjt-log-checken.html war schon eine Riesenhilfe. Wie dort beschrieben habe ich SmitfraudFix zweimal laufen lassen und einige Fixes mit HJT durchgeführt. Systemsteuerung und TaskManager sind seitdem wieder verfügbar. Mein Antivir (gestern update durchgeführt, aber leider nur PersonalEdition Classic) hatte danach auch keine Probleme mehr gefunden. Der von myrtille im oben beschriebenen Thread vorgeschlagene escan-Lauf hat aber gezeigt, dass noch 36 Viren und 174 Fehler gemeldet werden. Hier folgen das aktuelle HJT-Log und das escan-Log. Im Voraus vielen Dank! Ullli (alias Uli) P.S.: Das trojaner-board gibt einem nach so einer Attacke wieder den Glauben an die Menschheit zurück...  ----------------- Logfile of HijackThis v1.99.1 Scan saved at 10:10:43, on 01.09.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\CA\eTrust Antivirus\InoRpc.exe C:\Programme\CA\eTrust Antivirus\InoRT.exe C:\Programme\CA\eTrust Antivirus\InoTask.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\OSD.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\PROGRA~1\CA\ETRUST~1\realmon.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\WLAN Monitor\wlconfig.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\Programme\SpeedswitchXP\SpeedswitchXP.exe C:\Programme\Messenger\msmsgs.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe C:\WINDOWS\system32\notepad.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HijackThis\hijackthis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [DXDllRegExe] dxdllreg.exe O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programme\SpeedswitchXP\SpeedswitchXP.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1 O4 - HKCU\..\Run: [Firewall auto setup] C:\DOKUME~1\MEDION~1\LOKALE~1\Temp\winlogon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O11 - Options group: [INTERNATIONAL] International* O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: Uno Installer (UnoInstallerService) - Unknown owner - C:\Programme\M-Audio Uno\UnoInst.exe (file missing) O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe ------------------ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: NETWORK eScan Version: 9.4.1 Sprache: German Virus-Datenbank Datum: 8/31/2007 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with smitfraud Browser Hijacker (svcp.csv)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with smitfraud Browser Hijacker (winsub.xml)! Action taken: Keine Aktion vorgenommen. System found infected with banker.d Worm (hkey_local_machine\software\helper)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\WINDOWS\SYSTEM32\DEFLIB.SYS infiziert von "Trojan.Win32.Agent.asu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\bear1.dll//UPX infiziert von "Backdoor.Win32.Agent.asa" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\DefLib.sys infiziert von "Trojan.Win32.Agent.asu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\dllh8jkd1q8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\vedxga3me2.exe infiziert von "Trojan-Downloader.Win32.Agent.coq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\winlogon.exe infiziert von "Trojan-Proxy.Win32.Small.fx" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TD823X2B\n2_17_08_07_na_0[1].exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TD823X2B\n2_17_08_07_na_0[2].exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TD823X2B\n2_17_08_07_na_0[3].exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WJL3K0RG\n2_17_08_07_na_0[1].exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Programme\HP\Memories Disc\skins\HewlettPackard_0002\skingen\MEMDISC\PROVIDED\RETAILPF\SETUP.EXE infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc921.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc922.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc923.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc924.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc925.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\bear1.dll//UPX infiziert von "Backdoor.Win32.Agent.asa" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\DefLib.sys infiziert von "Trojan.Win32.Agent.asu" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\dllh8jkd1q8.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\system32\vedxga3me2.exe infiziert von "Trojan-Downloader.Win32.Agent.coq" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\WINDOWS\Temp\284998119.exe infiziert von "Trojan.Win32.Obfuscated.gp" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix(2).exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix.exe//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\vi3jvl75.default\Cache\0C5F4A29d01//data.rar/SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Program Files\BraveSentry\BraveSentry0.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Program Files\BraveSentry\BraveSentry2.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Program Files\BraveSentry\BraveSentry3.dll markiert als "not-a-virus:FraudTool.Win32.BraveSentry.b". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Programme\Mozilla Firefox\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\WINDOWS\gpinstall.exe Offending file found: C:\WINDOWS\system32\process.exe Offending file found: C:\WINDOWS\system32\svcp.csv Offending file found: C:\WINDOWS\system32\swreg.exe Offending file found: C:\WINDOWS\system32\swsc.exe Offending file found: C:\WINDOWS\system32\winsub.xml ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDYVWL6F\fi_nt86[1].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDYVWL6F\fi_nt86[2].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GDYVWL6F\fi_nt86[3].exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\RECYCLER\S-1-5-21-3986051573-383343555-1932280929-1006\Dc981.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 151065 Gefundene Viren: 36 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 174 Dauer des Scans bisher: 01:16:40 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 7:12:58,78 Batchende: 7:13:13,04 ----------------------------- |
|
01.09.2007, 11:33
| #2 |
  |  Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. Hallo
__________________mach bitte zuerst alle versteckten Dateien und Ordner sichtbar, dann lasse diese Datei(en) : C:\DOKUME~1\MEDION~1\LOKALE~1\Temp\winlogon.exe C:\WINDOWS\system32\bear1.dll C:\WINDOWS\system32\dllh8jkd1q8.exe C:\WINDOWS\system32\vedxga3me2.exe hier Virustotal hier VirSCAN.org - The Mutli-Engine Virus Scanner v1.00 Beta,Support 29 AntiVirus Engine, Last Update(070821) oder hier Jotti überprüfen (kann einige Minuten dauern), poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. Du solltest dich evtl. schonmal mit dieser Anleitung vertraut machen Neuaufsetzen des Systems und anschliessende Absicherung! MFG |
|
01.09.2007, 12:14
| #3 |
| | Fiese Sachen... Hallo Nochdigger,
__________________die Anzeigeneinstellungen (versteckte Dateien etc.) hatte ich schon so eingestellt, aber jetzt auch noch mal überprüft. Hier unten die Ergebnisse von Virus-Total. Vielen Dank und viele Grüße Uli -------------------------- Datei winlogon.exe empfangen 2007.09.01 12:50:54 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 12/32 (37.5%) (...) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.1.0 2007.09.01 - AntiVir 7.4.1.66 2007.08.31 TR/Small.33280 Authentium 4.93.8 2007.08.31 - Avast 4.7.1029.0 2007.09.01 - AVG 7.5.0.484 2007.08.31 SHeur.KJL BitDefender 7.2 2007.09.01 - CAT-QuickHeal 9.00 2007.08.31 TrojanProxy.Small.fx ClamAV 0.91.2 2007.09.01 - DrWeb 4.33 2007.09.01 Trojan.Spambot.2384 eSafe 7.0.15.0 2007.08.29 - eTrust-Vet 31.1.5100 2007.08.31 - Ewido 4.0 2007.09.01 - FileAdvisor 1 2007.09.01 - Fortinet 3.11.0.0 2007.09.01 - F-Prot 4.3.2.48 2007.08.31 - F-Secure 6.70.13030.0 2007.08.31 Trojan-Proxy.Win32.Small.fx Ikarus T3.1.1.12 2007.09.01 Trojan.Win32.Agent.asu Kaspersky 4.0.2.24 2007.09.01 Trojan-Proxy.Win32.Small.fx McAfee 5110 2007.08.31 - Microsoft 1.2803 2007.09.01 - NOD32v2 2495 2007.09.01 - Norman 5.80.02 2007.08.31 - Panda 9.0.0.4 2007.08.31 - Prevx1 V2 2007.09.01 SystemPoser:Trojan-a Rising 19.38.52.00 2007.09.01 Trojan.Win32.Agent.vxr Sophos 4.21.0 2007.09.01 Mal/Generic-A Sunbelt 2.2.907.0 2007.08.31 Trojan-Proxy.Win32.Small.fx Symantec 10 2007.09.01 - TheHacker 6.1.9.175 2007.08.31 - VBA32 3.12.2.3 2007.09.01 - VirusBuster 4.3.26:9 2007.08.31 - Webwasher-Gateway 6.0.1 2007.08.31 Trojan.Small.33280 weitere Informationen File size: 33280 bytes MD5: 0ee01e9acd65a2a50d2a4c1601964978 SHA1: 482f8eea3afdb94b7e376b30fb8028c845246a4f Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=1562BD2B00885FAE82CD002A1416590096FEADD1 ------------------------- Datei bear1.dll empfangen 2007.09.01 12:55:51 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 12/32 (37.5%) (...) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.1.0 2007.09.01 - AntiVir 7.4.1.66 2007.08.31 - Authentium 4.93.8 2007.08.31 W32/PWStealer.OCF Avast 4.7.1029.0 2007.09.01 - AVG 7.5.0.484 2007.08.31 PSW.Banker3.YPM BitDefender 7.2 2007.09.01 - CAT-QuickHeal 9.00 2007.08.31 - ClamAV 0.91.2 2007.09.01 - DrWeb 4.33 2007.09.01 - eSafe 7.0.15.0 2007.08.29 - eTrust-Vet 31.1.5100 2007.08.31 - Ewido 4.0 2007.09.01 - FileAdvisor 1 2007.09.01 - Fortinet 3.11.0.0 2007.09.01 - F-Prot 4.3.2.48 2007.08.31 W32/PWStealer.OCF F-Secure 6.70.13030.0 2007.08.31 Backdoor.Win32.Agent.asa Ikarus T3.1.1.12 2007.09.01 Trojan-PWS.Win32.Agent.km Kaspersky 4.0.2.24 2007.09.01 Backdoor.Win32.Agent.asa McAfee 5110 2007.08.31 PWS-Banker.gen.bq Microsoft 1.2803 2007.09.01 - NOD32v2 2495 2007.09.01 a variant of Win32/Spy.Banker.CKW Norman 5.80.02 2007.08.31 - Panda 9.0.0.4 2007.08.31 Suspicious file Prevx1 V2 2007.09.01 - Rising 19.38.52.00 2007.09.01 - Sophos 4.21.0 2007.09.01 - Sunbelt 2.2.907.0 2007.08.31 - Symantec 10 2007.09.01 Infostealer.Bancos TheHacker 6.1.9.175 2007.08.31 - VBA32 3.12.2.3 2007.09.01 Backdoor.Win32.Agent.asa VirusBuster 4.3.26:9 2007.08.31 - Webwasher-Gateway 6.0.1 2007.08.31 Worm.Win32.Malware.gen#UPX (suspicious) weitere Informationen File size: 51712 bytes MD5: 37e81beb0d0c496608996e93ca2e67c9 SHA1: a36ba4463235a462a7d6e437514445ae8d358904 packers: UPX packers: UPX packers: UPX ------------------------- C:\WINDOWS\system32\dllh8jkd1q8.exe 0 bytes size received / Se ha recibido un archivo vacio Datei hat auch laut Explorer 0 Bytes --------------------------- Datei vedxga3me2.exe empfangen 2007.09.01 13:02:38 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 14/32 (43.75%) (...) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.9.1.0 2007.09.01 - AntiVir 7.4.1.66 2007.08.31 HEUR/Crypted Authentium 4.93.8 2007.08.31 - Avast 4.7.1029.0 2007.09.01 - AVG 7.5.0.484 2007.08.31 Obfustat.JZT BitDefender 7.2 2007.09.01 - CAT-QuickHeal 9.00 2007.08.31 (Suspicious) - DNAScan ClamAV 0.91.2 2007.09.01 - DrWeb 4.33 2007.09.01 - eSafe 7.0.15.0 2007.08.29 - eTrust-Vet 31.1.5100 2007.08.31 - Ewido 4.0 2007.09.01 - FileAdvisor 1 2007.09.01 - Fortinet 3.11.0.0 2007.09.01 W32/Agent.COQ!tr.dldr F-Prot 4.3.2.48 2007.08.31 - F-Secure 6.70.13030.0 2007.08.31 Trojan-Downloader.Win32.Agent.coq Ikarus T3.1.1.12 2007.09.01 Email-Worm.Win32.Locksky.be Kaspersky 4.0.2.24 2007.09.01 Trojan-Downloader.Win32.Agent.coq McAfee 5110 2007.08.31 - Microsoft 1.2803 2007.09.01 - NOD32v2 2495 2007.09.01 - Norman 5.80.02 2007.08.31 W32/Tibs.ASKH Panda 9.0.0.4 2007.08.31 Suspicious file Prevx1 V2 2007.09.01 Trojan.VXGAME Rising 19.38.52.00 2007.09.01 Trojan.Win32.Agent.vyl Sophos 4.21.0 2007.09.01 - Sunbelt 2.2.907.0 2007.08.31 Trojan.Vxgame.z Symantec 10 2007.09.01 - TheHacker 6.1.9.175 2007.08.31 - VBA32 3.12.2.3 2007.09.01 - VirusBuster 4.3.26:9 2007.08.31 Packed/FRBR Webwasher-Gateway 6.0.1 2007.08.31 Heuristic.Crypted weitere Informationen File size: 5632 bytes MD5: a341c63152cabbd36674ebcb834142c7 SHA1: d0bb4eb1a7c00a3f183a51bc8464e97bf8de9072 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=2985B6FE0097FB7E165D006C0064FD00DDF2FF76 Sunbelt info: Trojan.Vxgame.z is a trojan program that silently downloads additional malware from the internet and lowers the system's security settings by disabling the Windows firewall. |
|
01.09.2007, 12:52
| #4 | ||
| | Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. Hallo bei den Ergebnissen Zitat:
 leider muss ich dir zu meiner schon verlinkten Anleitung raten, sorry Zitat:
MFG |
|
01.09.2007, 19:26
| #5 |
| |  Letzte Hilfe? Gibt's noch Ideen da draußen? Hallo Nochdigger, vielen Dank für Deine Unterstützung! Sieht also so aus, dass ich letztlich um das "Platteputzen" nicht herumkomme... Wenn es irgendwie geht, würde ich den Kampf aber noch nicht ganz aufgeben.  @all: Falls also noch jemand eine Idee hat (notfalls auch aus der Kategorie "Verzweiflungsmaßnahmen"), die man noch probieren könnte, dann wäre jetzt genau der richtige Moment sie hier zu posten. Vielen Dank schon mal im Voraus! Beste Grüße Uli |
|
| Themen zu Übriges Geziefer nach SmitfraudFix: Bitte HJT- und escan-Logs checken. |
| 1.exe, antivir, antivirus, avira, browser, c:\windows\temp, computer, content.ie5, desktop, drivers, fehler, festplatte, firefox, fraud, helper, hewlettpackard, hijack, hijackthis, home, hosts-datei, internet, internet explorer, launch, maßnahme, mozilla, mozilla firefox, prozesse, registry, registry key, server, smitfraud, software, taskmanager, vielen dank, viren, windows, windows xp, windows\temp |
Linear-Darstellung
