![]() |
|
Log-Analyse und Auswertung: Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :)Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
![]() |
![]() | #1 |
| ![]() Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) Smitfraud / startdrv.exe Kampfansage ! nachdem ich aus dem Bauch heraus diverse Schritte unternommen habe, um meinen PC zu säubern, versuche ich es nun systematisch. aber ersteinmal die Chaosgeschichte zusammengefasst: total dämlich führte ich eine datei unsicheren ursprungs aus ![]() schwarzers desktopbild mit einer meldung ungefähr so "system is infected.... your ip adress is .... please remove spyware" task manager war angebilch deaktiviert vom admin (das bin aber ich) nervige popups gingen auf (nur IE) cpu auslastung ungewöhnlich hoch also hab ich erstmal den taskmanager wieder aktiviert "REG add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableTaskMgr /t REG_DWORD /d 0 /f" spybot s&d installiert update gemacht adaware installiert update gemacht beide laufen lassen spybot konnte c:\windows\temp\startdrv.exe nicht entfernen, manuell und über cmd gings auch nicht. über win boot cd und den command modus gings dann doch, aber sie kam wieder. dann hab ich das forum hier entdeckt, weil startdrv.exe trotzdem wieder versucht hat die registry zu manipulieren (mit spybot natürlich untersagt) antivir lässt sich nicht installieren - avcenter.exe cannot be found or has been modified or destroyed - reinstallation auch nach (durch regcleaner durchgeführte) entfernung aller einträge nicht möglich, da immer gleiche fehlermeldung. avg75free auch nicht installierbar anderer fehler, aber auch etwas in richtung ***.exe defekt Sonstiges: systemwiderherstellung ist deaktiviert alle dateien inkl. endungen werden angezeigt hijackthis ist umbenannt in "Hij ack This.com" Basisinfo: WinXP mit allen relevanten updates auf Dell inspiron 9200. Falls notwendig auch externer 2,5hdd rahmen für viren scan von anderem pc aus. mein system ist auf englisch installiert, da der pc in den usa gekauft wurde (übersetzung der befehle / informationen) für mich aber kein problem) Halbsystematisch: dann habe ich mich an foglende anleitung gemacht http://w*w.trojaner-info.de/hijacker/smitfraud.html Security IGuard Virtual Maid Search Maid waren nicht zu finden (in der sys-steuerung) Killbox V 2.0.0.648 bringt beim versuch, gezielt (natürlich "beim reboot") die datei c:\windows\temp\startdrv.exe zu entfernen die meldung "PendingFileRenameOperations Registry Data has been Removed by external Process!" Beim vorherigen Versuch, den gesamten Temp ordner zu löschen hats nicht geklappt. Ich starte sowohl killbox im safe mode, als auch beim reboot durch killbox (auf manchen seiten steht "nach dem reboot im safe mode starten" aber ich denke es ist einfach unklar ausgedrückt. über die windowsCD zur repereaturkosole und dann die quasi dos eingabe ist smartdrv.exe zu löschen, kommt aber beim nächsten systemstart (safe mode) wieder (trotz vorherigem entfernen über regcleaner aus dem autostart) Naja, mittlerweile bin ich frustriert, will aber wenn irgendwie möglich nicht neu installieren.... für diesbezügliche Hinweise wäre ich sehr dankbar. LOGFILE: ------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 16:46:49, on 08.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\NOTEPAD.EXE C:\Documents and Settings\******\Desktop\Hij ack This.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file) O2 - BHO: (no name) - {318A2445-B2F5-BB56-A03A-9D2B5D9383B9} - C:\WINDOWS\system32\hwseumt.dll O2 - BHO: (no name) - {32D27D58-A397-47B0-835E-F8CF306A1749} - C:\WINDOWS\system32\awtut.dll O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file) O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Her - {971D5B7B-F7DF-43ee-B771-6B7FA09975C3} - C:\WINDOWS\system32\tcprp.dll O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file) O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\MindManager\Mm6InternetExplorer.dll O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file) O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file) O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file) O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\QuickSet.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [smgr] mgrs.exe O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\dqiamrck.dll",sitypnow O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [i8kfangui] C:\Program Files\I8kfanGUI\i8kfangui.exe /startup O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Gld] "C:\Program Files\S?mantec\t?skmgr.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [Sen] "C:\PROGRA~1\COMMON~1\CROSOF~1\explorer.exe" -vt ndrv O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\MindManager\Mm6InternetExplorer.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://w*w.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1187892144618 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: fccccaw - C:\WINDOWS\SYSTEM32\fccccaw.dll O20 - Winlogon Notify: winjrp32 - C:\WINDOWS\SYSTEM32\winjrp32.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe -------------------------- DANKE DANKE ![]() ![]() ![]() P.S. es kommen immer mal wieder nervige IE popups und smartdrv.exe versucht (von spybot geblockt) irgendwas zu ändern |
![]() | #2 |
![]() | ![]() Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) naja also ich hab leider grad ned viel zeit also mal zur LOG-FILE:
__________________Bitte fix folgendes: O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file) O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file) O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file) O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file) O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file) O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file) O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file) Umbedingt FIXEN: O4 - HKLM\..\Run: [smgr] mgrs.exe O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe Schau mal ob du was genaueres über das rausbeommst: O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\dqiamrck.dll",sitypnow O20 - Winlogon Notify: winjrp32 - C:\WINDOWS\SYSTEM32\winjrp32.dll O20 - Winlogon Notify: fccccaw - C:\WINDOWS\SYSTEM32\fccccaw.dll So das wars mal zu deiner Logfile..sag bescheid wenn du dich über die genannten erkundigt hast!! MfG Matze |
![]() | #3 |
![]() ![]() ![]() ![]() ![]() | ![]() Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) Hallo
__________________@jensmander lass diese Dateien : C:\WINDOWS\system32\dqiamrck.dll C:\WINDOWS\Temp\startdrv.exe C:\WINDOWS\SYSTEM32\winjrp32.dll mgrs.exe <-- bitte suchen hier Virustotal hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 34 AntiVirus Engine, Last Update(071008) oder hier Jotti überprüfen (kann einige Minuten dauern) bevor du anfängst irgendwas zu fixen, poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben, bitte auch wenn nichts gefunden wurde. MFG |
![]() | #4 |
| ![]() hier die benötigten Infos Danke Euch Beiden schon mal für den schnellen Rat! @DjM4tz3 also über fccccaw.dll finde ich auf div Seiten den Hinweis spyware, aber nix worauf ich mich verlassen würde. zu den anderen beiden, siehe logfiles unten @nochdigger Hi, als ich dein Post gesehen hatte, war die mgrs.exe schon gelöscht (aber Anmerkung s.u.). Ebenso diese Einträge: O2 - BHO: (no name) - {029e02f0-a0e5-4b19-b958-7bf2db29fb13} - (no file) O2 - BHO: (no name) - {2d7cb618-cc1c-4126-a7e3-f5b12d3bcf71} - (no file) O2 - BHO: (no name) - {51641ef3-8a7a-4d84-8659-b0911e947cc8} - (no file) O2 - BHO: (no name) - {6abc861a-31e7-4d91-b43b-d3c98f22a5c0} - (no file) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {a4a435cf-3583-11d4-91bd-0048546a1450} - (no file) O2 - BHO: (no name) - {c2680e10-1655-4a0e-87f8-4259325a84b7} - (no file) O2 - BHO: (no name) - {d8efadf1-9009-11d6-8c73-608c5dc19089} - (no file) O2 - BHO: (no name) - {e9306072-417e-43e3-81d5-369490beef7c} - (no file) hier die ergebnisse von virus Total: Anmerkungen: mgrs.exe war anscheinend doch noch da c:\windows und auch in c:\windows\prefetch mit dem parameter "-34C3510A.pf" -------------- dqiamrack.dll - spybot hat bei mir auch virtumundo (s.u.) festgestellt, ist aber dann abgeschmiert statt die (und andere) zu löschen ------------------------- Datei startdrv.exe Ergebnis: 15/32 (46.88%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.8.0 2007.10.08 - AntiVir 7.6.0.20 2007.10.08 W32/Virut.AF Authentium 4.93.8 2007.10.05 - Avast 4.7.1051.0 2007.10.08 - AVG 7.5.0.488 2007.10.08 Win32/Virut.L BitDefender 7.2 2007.10.08 Win32.Virtob.AS CAT-QuickHeal 9.00 2007.10.08 - ClamAV 0.91.2 2007.10.08 - DrWeb 4.44.0.09170 2007.10.08 Trojan.MulDrop.9288 eSafe 7.0.15.0 2007.10.07 Suspicious File eTrust-Vet 31.2.5190 2007.10.06 - Ewido 4.0 2007.10.08 - FileAdvisor 1 2007.10.08 - Fortinet 3.11.0.0 2007.10.08 W32/Virut.AB F-Prot 4.3.2.48 2007.10.06 - F-Secure 6.70.13030.0 2007.10.08 Virus.Win32.Virut.ab Ikarus T3.1.1.12 2007.10.08 Win32.Outbreak.Games2 Kaspersky 7.0.0.125 2007.10.08 Virus.Win32.Virut.ab McAfee 5135 2007.10.05 New Win32 Microsoft 1.2908 2007.10.08 TrojanDropper:Win32/Cutwail.D NOD32v2 2578 2007.10.08 probably a variant of Win32/TrojanDownloader.Agent.NRL Norman 5.80.02 2007.10.08 - Panda 9.0.0.4 2007.10.08 - Prevx1 V2 2007.10.08 - Rising 19.44.02.00 2007.10.08 - Sophos 4.22.0 2007.10.08 - Sunbelt 2.2.907.0 2007.10.06 VIPRE.Suspicious Symantec 10 2007.10.08 W32.Virut.W TheHacker 6.2.6.079 2007.10.07 - VBA32 3.12.2.4 2007.10.08 - VirusBuster 4.3.26:9 2007.10.08 - Webwasher-Gateway 6.0.1 2007.10.08 Win32.Virut.AF weitere Informationen File size: 27648 bytes MD5: 127248d8f4077d907a469898c9db6abb SHA1: d54f50db5eeaba0a1072ffa03f9ad55f05a6246f Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. -------------------------------------------- dqiamrck.dll 6/32 (18.75%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.8.0 2007.10.08 - AntiVir 7.6.0.20 2007.10.08 TR/Dldr.ConHook.Gen Authentium 4.93.8 2007.10.05 - Avast 4.7.1051.0 2007.10.08 - AVG 7.5.0.488 2007.10.08 Lop BitDefender 7.2 2007.10.08 - CAT-QuickHeal 9.00 2007.10.08 - ClamAV 0.91.2 2007.10.08 - DrWeb 4.44.0.09170 2007.10.08 - eSafe 7.0.15.0 2007.10.07 - eTrust-Vet 31.2.5190 2007.10.06 - Ewido 4.0 2007.10.08 - FileAdvisor 1 2007.10.08 - Fortinet 3.11.0.0 2007.10.08 - F-Prot 4.3.2.48 2007.10.06 - F-Secure 6.70.13030.0 2007.10.08 - Ikarus T3.1.1.12 2007.10.08 - Kaspersky 7.0.0.125 2007.10.08 - McAfee 5135 2007.10.05 - Microsoft 1.2908 2007.10.08 - NOD32v2 2578 2007.10.08 - Norman 5.80.02 2007.10.08 Vundo.gen41 Panda 9.0.0.4 2007.10.08 - Prevx1 V2 2007.10.08 Trojan.Vundo Rising 19.44.02.00 2007.10.08 - Sophos 4.22.0 2007.10.08 Virtumundo Sunbelt 2.2.907.0 2007.10.06 - Symantec 10 2007.10.08 - TheHacker 6.2.6.079 2007.10.07 - VBA32 3.12.2.4 2007.10.08 - VirusBuster 4.3.26:9 2007.10.08 - Webwasher-Gateway 6.0.1 2007.10.08 Trojan.Dldr.ConHook.Gen weitere Informationen File size: 85056 bytes MD5: 53f3e65b1e611a87778188131e950ccd SHA1: be223a36d4e2d10d6ee55abee51bf4c93c547324 Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=610AA78E40E26BB64C780118D9108D0069A35FF6 ----------------------------------------------- winjrp32.dll Ergebnis: 15/32 (46.88%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.8.0 2007.10.08 - AntiVir 7.6.0.20 2007.10.08 TR/Crypt.PEC2X.Gen Authentium 4.93.8 2007.10.05 W32/AgentP.Q Avast 4.7.1051.0 2007.10.08 - AVG 7.5.0.488 2007.10.08 - BitDefender 7.2 2007.10.08 - CAT-QuickHeal 9.00 2007.10.08 - ClamAV 0.91.2 2007.10.08 - DrWeb 4.44.0.09170 2007.10.08 Trojan.Mezzia.75 eSafe 7.0.15.0 2007.10.07 Suspicious File eTrust-Vet 31.2.5190 2007.10.06 - Ewido 4.0 2007.10.08 - FileAdvisor 1 2007.10.08 - Fortinet 3.11.0.0 2007.10.08 - F-Prot 4.3.2.48 2007.10.06 W32/AgentP.Q F-Secure 6.70.13030.0 2007.10.08 Trojan.Win32.Dialer.qn Ikarus T3.1.1.12 2007.10.08 Trojan.Win32.Agent.qt Kaspersky 7.0.0.125 2007.10.08 Trojan.Win32.Dialer.qn McAfee 5136 2007.10.08 BackDoor-CVT Microsoft 1.2908 2007.10.08 Trojan:Win32/Adialer.OP NOD32v2 2578 2007.10.08 - Norman 5.80.02 2007.10.08 - Panda 9.0.0.4 2007.10.08 Suspicious file Prevx1 V2 2007.10.08 Heuristic: Suspicious Self Modifying EXE Rising 19.44.02.00 2007.10.08 - Sophos 4.22.0 2007.10.08 Troj/Nebule-Gen Sunbelt 2.2.907.0 2007.10.06 VIPRE.Suspicious Symantec 10 2007.10.08 - TheHacker 6.2.6.079 2007.10.07 - VBA32 3.12.2.4 2007.10.08 - VirusBuster 4.3.26:9 2007.10.08 - Webwasher-Gateway 6.0.1 2007.10.08 Trojan.Crypt.PEC2X.Gen weitere Informationen File size: 23552 bytes MD5: 8a76ad10a6b764f10466c51dc67a0cf8 SHA1: 9c1f91b87c811a686dc2942a204c308c59407343 packers: PE_Patch.PECompact, PecBundle, PECompact Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=0608921D001DBCE65C3100F4795D2000E5BBF508 Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. --------------------- mgrs.exe Ergebnis: 18/32 (56.25%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.10.8.0 2007.10.08 - AntiVir 7.6.0.20 2007.10.08 W32/Virut.AF Authentium 4.93.8 2007.10.05 Possibly a new variant of W32/CrazyCrunch-based!Maximus Avast 4.7.1051.0 2007.10.08 - AVG 7.5.0.488 2007.10.08 Win32/Virut.L BitDefender 7.2 2007.10.08 Win32.Virtob.AS CAT-QuickHeal 9.00 2007.10.08 (Suspicious) - DNAScan ClamAV 0.91.2 2007.10.08 Trojan.Downloader-14131 DrWeb 4.44.0.09170 2007.10.08 Trojan.DownLoader.25873 eSafe 7.0.15.0 2007.10.07 Suspicious File eTrust-Vet 31.2.5190 2007.10.06 - Ewido 4.0 2007.10.08 - FileAdvisor 1 2007.10.08 - Fortinet 3.11.0.0 2007.10.08 W32/Virut.AB F-Prot 4.3.2.48 2007.10.06 - F-Secure 6.70.13030.0 2007.10.08 Virus.Win32.Virut.ab Ikarus T3.1.1.12 2007.10.08 Trojan-Downloader.Win32.Alphabet Kaspersky 7.0.0.125 2007.10.08 Virus.Win32.Virut.ab McAfee 5136 2007.10.08 - Microsoft 1.2908 2007.10.08 TrojanDownloader:Win32/Small.gen!F NOD32v2 2578 2007.10.08 probably unknown NewHeur_PE virus Norman 5.80.02 2007.10.08 - Panda 9.0.0.4 2007.10.08 Suspicious file Prevx1 V2 2007.10.08 - Rising 19.44.02.00 2007.10.08 - Sophos 4.22.0 2007.10.08 - Sunbelt 2.2.907.0 2007.10.06 VIPRE.Suspicious Symantec 10 2007.10.08 W32.Virut.W TheHacker 6.2.6.079 2007.10.07 - VBA32 3.12.2.4 2007.10.08 - VirusBuster 4.3.26:9 2007.10.08 - Webwasher-Gateway 6.0.1 2007.10.08 Win32.Virut.AF weitere Informationen File size: 19968 bytes MD5: 33c03f3d7a832ef9fe280cc78d9d3fd5 SHA1: f0a873bd33846a911f9709a8007fe874a1851132 packers: embedded, PecBundle, PECompact Sunbelt info: VIPRE.Suspicious is a generic detection for potential threats that are deemed suspicious through heuristics. |
![]() | #5 |
| ![]() aktuelles Logfile aus dem abgesicherten Modus hier ein aktuelles Logfile: Logfile of HijackThis v1.99.1 Scan saved at 20:07:35, on 08.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Documents and Settings\****\Desktop\Hij ack This.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://w*w.google.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/ O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1AC1C148-183C-479F-AA1E-2D9B239BB540} - C:\WINDOWS\system32\awtut.dll O2 - BHO: (no name) - {318A2445-B2F5-BB56-A03A-9D2B5D9383B9} - C:\WINDOWS\system32\hwseumt.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O2 - BHO: Microsoft copyright - {971D5B7B-F7DF-43ee-B771-6B7FA09975C3} - sipov.dll (file missing) O2 - BHO: CmjBrowserHelperObject Object - {AC41D38F-B56D-40AD-94E0-B493D130C959} - C:\Program Files\MindManager\Mm6InternetExplorer.dll O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\pgnjfank.dll O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [IntelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [Dell QuickSet] C:\Program Files\Dell\QuickSet\QuickSet.exe O4 - HKLM\..\Run: [ATIPTA] "C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ctfmona] C:\WINDOWS\system32\ctfmona.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\pnkguslh.dll",sitypnow O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvwud.dll,startup O4 - HKLM\..\Run: [avp] C:\WINDOWS\TEMP\win48.tmp.exe O4 - HKLM\..\Run: [smgr] mgrs.exe O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKCU\..\Run: [i8kfangui] C:\Program Files\I8kfanGUI\i8kfangui.exe /startup O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Program Files\ActiveSync\wcescomm.exe" O4 - HKCU\..\Run: [Gld] "C:\Program Files\S?mantec\t?skmgr.exe" O4 - HKCU\..\Run: [Sen] "C:\PROGRA~1\COMMON~1\CROSOF~1\explorer.exe" -vt ndrv O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\Office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\ACTIVE~1\INetRepl.dll O9 - Extra button: Send to Mindjet MindManager - {531B9DC0-D8EE-4c76-A6EE-6C1E50569655} - C:\Program Files\MindManager\Mm6InternetExplorer.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://h**p://w*w.update.microsoft.c...?1187892144618 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O20 - Winlogon Notify: fccccaw - C:\WINDOWS\SYSTEM32\fccccaw.dll O20 - Winlogon Notify: winjrp32 - C:\WINDOWS\SYSTEM32\winjrp32.dll O20 - Winlogon Notify: yayvsrq - C:\WINDOWS\SYSTEM32\yayvsrq.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program Files\Dell\NICCONFIGSVC\NICCONFIGSVC.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: Intel(R) PROSet/Wireless SSO Service (WLANKEEPER) - Intel(R) Corporation - C:\Program Files\Intel\Wireless\Bin\WLKeeper.exe |
![]() | #6 |
/// AVZ-Toolkit Guru ![]() ![]() ![]() ![]() ![]() | ![]() Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) Halli hallo. Ein logFile aus dem abgesicherten bringt uns garnichts.. ![]() Arbeite bitte folgende Anleitung ab: MWAV (eScan) - Free Antivirus -Lies dir folgende Anleitung genau durch und arbeite sie ab -> Anleitung eScan Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der *find.bat'. (rechte Maustaste auf den LINK 'find.bat' Gruß Undoreal
__________________ --> Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) |
![]() | #7 |
![]() | ![]() Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) Halloo, also den Pfad der Datei fccccaw.dll würde ich in HijackThis auf jedenfall mal fixen, es ist sicher kein eintrag der wichtig ist, und es könnte eine spyware sein (zu 90%) Poste doch bitte mal den Bericht von MWAV (eScan) - Free Antivirus Wenn wir das haben kommen wir weiter :] EDIT I: Außerdem aknnst du in deinem ABGESICHTEREN MODUS in der LogFile auchnoch folgende Daten fixen: O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - C:\WINDOWS\system32\pgnjfank.dll O4 - HKLM\..\Run: [smgr] mgrs.exe O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe O4 - HKLM\..\Run: [SearchIndexer] rundll32.exe "C:\WINDOWS\system32\pnkguslh.dll",sitypnow O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvwud.dll,startup O20 - Winlogon Notify: fccccaw - C:\WINDOWS\SYSTEM32\fccccaw.dll O20 - Winlogon Notify: winjrp32 - C:\WINDOWS\SYSTEM32\winjrp32.dll O20 - Winlogon Notify: yayvsrq - C:\WINDOWS\SYSTEM32\yayvsrq.dll EDIT II: Sorry bin blöd, das mit MWAV hat dir undoreal schon gesagt! MfG Matze Geändert von DjM4tz3 (08.10.2007 um 20:11 Uhr) |
![]() | #8 |
| ![]() eScan Hi, also die eScan_neu.txt (von find.exe erstellt) ist zu groß (200.000) zeichen und hier sind 25.000 erlaubt. ich hab sie daher bei fileupload hochgeladen und sie ist unter h**p://w*w.file-upload.net/download-439506/eScan_neu.txt.html zu finden. updaten von eScan ist aber fehlgeschlagen.... ich habs wie beschrieben im abgesicherten modus gemacht. nachher auch mal im normalen versucht, die aktualisierung vorzunehmen, ging aber auch nicht. ich hoffe es hilft trotzdem weiter....... 1400 Viren gefunden klingt ja nicht so prickelnd ... ![]() Edit 1: hab grad gesehen, dass man auch hier im Forum Dateien hochladen kann, aber dafür ist sie leider zu groß Geändert von jensmander (08.10.2007 um 21:36 Uhr) |
![]() | #9 | |
![]() ![]() ![]() ![]() ![]() | ![]() Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) Hallo ich würde sagen hier ist eine Neuinstallation fällig ![]() denn bei diesem Fund Zitat:
eindeutig Backdoorfunktionen beschrieben evtl. hat der Schädling sogar eine Rootkitkomponente ![]() Und die ist ja nicht der einzige Schädling darum rate ich dir folge dieser Anleitung Neuaufsetzen des Systems und anschliessende Absicherung! Ändere unbedingt nach der Neuinstallation alle deine Pass- und Kennwörter. MFG |
![]() | #10 |
| ![]() Neu Aufsetzen hmmpf sch....e kann man denn nix anderes machen? ich hab die artikel gelesen, aber die hoffnung stirbt ja bekanntlich zuletzt. könnte ich gewisse daten sichern, bzw. extern zwischenspeichern und scannen? ach sch....e naja, trotzdem danke |
![]() | #11 | ||
![]() ![]() ![]() ![]() ![]() | ![]() Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) Hallo Zitat:
Eben weil niemand sagen kann, ob Dateien auf deinem System verändert/manipuliert wurden oder nicht. Zitat:
MFG |
![]() | #12 |
| ![]() Ende Danke an alle für die Hilfe. Naja, scheint mir ja nix anderes übrig zu bleiben, als den rechner plattzumachen. ![]() |
![]() |
Themen zu Smitfraud / startdrv.exe Kampfansage ! Profis gesucht :) |
adobe, auslastung, avira, bho, boot cd, c:\windows\temp, ctfmon.exe, disabletaskmgr, ellung, entfernen, excel, explorer, fraud, internet, internet explorer, ip adress, monitor, nicht möglich, popups, problem, registry, rundll, scan, smitfraud, software, spyware, starten, sys-steuerung, taskmanager, temp, temp ordner, träge, updates, viren, windows, windows xp, windows\temp, ändern |