Hallo!

Erstmal die Voraussetzung: Betriebssystem XP Pro
Ich surfe mit Mozilla Firefox
CounterSpy ist mein Virenscanner

Grobgesagt entdeckt StopSign Threat Scanner, dass sich ein Trojan Downloader (Trojan.DownLoader.9064 Software Package) auf meinem Rechner entdeckt, wobei der Ort an dem sich der Downloader zu befinden scheint, immer an nem anderen Ort ist. Mal sagt der Scanner, dass er den Macromedia Player infiziert hat, dann wiederum ist er plötzlich OpenOffice infiziert hat. Habe versucht Kaspersky Online Scanner laufen zu lassen, aber der ist gar nicht erst (im IE) startbar gewesen, als ich den gesamten Rechner scannen lassen wollte.

Trojan.DownLoader.9064 Application Spyware Program Infected
TribalFusion Cookie Spyware Cookie Infected
CasaleMedia Cookie Spyware Cookie Infected

wo die nun allerdings stecken sagt mir der Scanner nicht.

Der Spyware Doctor läßt mich zwar keinen Log speichern, aber ich habe die gefundenen Threats aufgeschrieben:

Adware.Advertising (2Infizierungen)
casalemedia.com
www.burstnet.com

Application.TrackingCookies (2Infizierungen)
specificclick.net
tribalfusion.com

Trojan-PWS.OnlineGames.KW (1Infizierungen)
C:\Dok und EInst\***\Lokale EInstellungen\Temp\kavss.dll

Spyware.Known_Bad_Sites (3Infizierungen)
CADSoftware FreeRip community.url/freerip.url/kbase.url

Dialer.QN (2Infizierungen)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\PSRV

Trojan-PWS.Tanspy (3Infizierungen)
HKEY_LOCAL_MACHINE\SOFTWAREMicrosoft\Windows\CurrentVersion\Control Panel\load

Email-Worm.Zhelatin(30Infizierungen)
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\ENUM\ROOt\LEGACY_WINDEV-5DA5-83\0000

Adware.Maxifiles 1Infizierung
(HKEY_CLASSES_ROOT\WR

Was nun?
Bin für jede Antwort dankbar!
Grüße, Mocca

Hallo.

Poste bitte zur ersten Grobanalyse erstmal ein Hijackthis-Logfile deiner Kiste.

Ich bitte nochmal kurz um den Link, in dem erklärt steht, wie man mittels code Sachen hier postet. Da mir das im Moment entfallen ist, muß ich leider das HJT vorerst im großen Format schicken

Logfile of HijackThis v1.99.1
Scan saved at 12:38:16, on 15.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
c:\programm_download\asquared\a-squared free\a2service.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\A\D Software\HiJackThis\1_99_1.exe
C:\WINDOWS\system32\cidaemon.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched]

"C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame

Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Programme\Acceleration

Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] "C:\Programme\Acceleration

Software\Anti-Virus\stopsignav.exe" -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\A\D Software\QuickTime\QTTask.exe"

-atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\A\D Software\Adobe

Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\programm_download\SBCSTray.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\A\D

Software\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} -

C:\A\D Software\ICQ6\ICQ.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) -

http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) -

http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) -

http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) -

http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5047/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{438EDDA9-4110-4661-AC06-A623EA110063}:

NameServer = 82.144.41.8 62.220.18.8
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH -

c:\programm_download\asquared\a-squared free\a2service.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame

Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) -

Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f

"%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software -

C:\programm_download\SBCSSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools -

C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools -

C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link -

C:\WINDOWS\SYSTEM32\slserv.exe

Danke!

Zitat:

Ich bitte nochmal kurz um den Link, in dem erklärt steht, wie man mittels code Sachen hier postet. Da mir das im Moment entfallen ist, muß ich leider das HJT vorerst im großen Format schicken

du hast oben im Textfeld verschiedene Symbole, z.B. um Image-Tags oder Zitat-Tags einzufügen. Neben dem Zitat-Button ist einer mit einem # (Raute, Gartenzaun, Schweinegatter, nenn es wie du willst ) - den musste drücken, um die CODE-Tags einzufügen.

Poste das Logfile damit gleich richtig, denn es ist nicht nur sehr unleserlich (viele sinnlose Zeilenumbrüche) sondern auch noch unvollständig.

So, jetzt aber!
Scheiß Arbeit - für nichts hat man Zeit, noch nicht mal seinen Rechner kann man in Ordnung bringen... hoffe, dass dieses file nun besser ist und das mein Rechner nun befreit werden kann ....

Danke!

Code: Alles auswählenAufklappen

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 16:17:27, on 19.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe
C:\programm_download\SBCSTray.exe
C:\Programme\Spyware Doctor\SDTrayApp.exe
c:\programm_download\asquared\a-squared free\a2service.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\programm_download\SBCSSvc.exe
C:\Programme\Spyware Doctor\svcntaux.exe
C:\Programme\Spyware Doctor\swdsvc.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\Versatel\Versatel.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Programme\Windows Media Player\wmplayer.exe
C:\A\D Software\HiJackThis\1_99_1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\Userinit.exe
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [StopSignSsTsMon] Rundll32.exe "C:\Programme\Acceleration Software\Anti-Virus\sstsmon.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] "C:\Programme\Acceleration Software\Anti-Virus\stopsignav.exe" -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\A\D Software\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\A\D Software\Adobe Reader\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SBCSTray] C:\programm_download\SBCSTray.exe
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\A\D Software\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\A\D Software\ICQ6\ICQ.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/default/kavwebscan_unicode.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/mcfscan/2,2,0,5047/mcfscan.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{438EDDA9-4110-4661-AC06-A623EA110063}: NameServer = 82.144.41.8 62.220.18.8
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programm_download\asquared\a-squared free\a2service.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Sunbelt CounterSpy Antispyware (SBCSSvc) - Sunbelt Software - C:\programm_download\SBCSSvc.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
         

Im HJT-Log ist mir nichts aufgefallen. Führ mal bitte folgende Tools bzw. Anleitungen zur weitere Analyse aus und poste die Logfiles:

- eScan
- Silentrunners
- combofix