hallo, naja habe grader erst nen trojan downloader entfernt und schon hat man nen neuen schädlich drauf...
hatte gestern mein system neu aufgesetzt, und da muss es passiert sein. Kaspersky lässt mich nicht in ruhe, also muss wirklich was draufsein...weis aber auch nicht genau, was es ist...das ding muss sich ma wieder in der svchost verankert haben, das er diese exe stopt und als virus erkent und es steht als beschreibung invador..

hier ist schon mal mein HijackThis logfile, escan folgt...

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Zitat:

Zitat von *Krawall$chachtel*

Kaspersky lässt mich nicht in ruhe, also muss wirklich was draufsein...weis aber auch nicht genau, was es ist...

Ich denke potentiellen Helfern könnte es weiterhelfen, wenn Du exakt beschreiben würdest mit was Dich Kaspersky auf welche Weise penetriert.

Gruß

Marc

also. ich hatte davor nen onlinescan mit kaspersky gemacht hier der post, ich mache grad noch einen scan mit dem programm, da kaspersky mir die ohren mit volgenden meldungen vorheult:
explorer.exe, services.exe, svchost.exe sollen mit einem "invader" befallen sein...

hier ein beispiel, was dasteht bei der svchost:
10.11.2007 13:14:15 Prozess C:\WINDOWS\System32\svchost.exe, gefunden: potentiell gefährliche Software 'Invader' (Modifikation).
10.11.2007 13:14:15 Prozess C:\WINDOWS\System32\svchost.exe (PID: 1544): Versuch zum Eindringen in einen anderen Prozess erlaubt.


log von kasp.:

-------------------------------------------------------------------------------

Code: Alles auswählenAufklappen

ATTFilter

PROTOKOLL FÜR KASPERSKY ONLINE SCANNER
 Samstag, 10. November 2007 12:00:37
 Betriebssystem: Microsoft Windows XP Professional, Service Pack 2 (Build 2600)
 Version von Kaspersky Online Scanner: 5.0.98.1
 Letztes Update der Antiviren-Datenbanken: 10/11/2007
 Anzahl der Einträge in den Antiviren-Datenbanken: 455919
-------------------------------------------------------------------------------

Scan-Einstellungen:
	Folgende Antiviren-Datenbanken zur Untersuchung verwenden: Erweiterte
	Archive untersuchen: ja
	Mail-Datenbanken untersuchen: ja

Untersuchungsobjekt - Ordner:
	C:\

Untersuchungsergebnisse:
	Untersuchte Objekte insgesamt: 41300
	Viren gefunden: 1
	Infizierte Objekte gefunden: 1
	Verdächtige Objekte gefunden: 0
	Untersuchungszeit: 00:53:22

Name des infizierten Objekts / Virusname / Letzte Aktion
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr0.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Microsoft\Network\Downloader\qmgr1.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\ICQ\338215937\Messages.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\ICQ\338215937\Owner.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\ICQ\Application.mdb	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_001_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_002_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_003_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\lb41ldyw.default\Cache\_CACHE_MAP_	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Temp\~DFF73C.tmp	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\Lokale Einstellungen\Verlauf\History.IE5\MSHist012007111020071111\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\KrawallSchachtel\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Cookies\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Temporary Internet Files\Content.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Verlauf\History.IE5\index.dat	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT	Das Objekt ist gesperrt	übersprungen
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\MountPointManagerRemoteDatabase	Das Objekt ist gesperrt	übersprungen
C:\System Volume Information\_restore{5FE14484-11D5-4591-831A-1243DFE5B37E}\RP18\A0004977.exe	Infizierte Objekte: not-a-virus:RemoteAdmin.Win32.NetCat	übersprungen
C:\System Volume Information\_restore{5FE14484-11D5-4591-831A-1243DFE5B37E}\RP27\change.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\Debug\PASSWD.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SchedLgU.Txt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\EventCache\{E5FCFB80-2B7A-4FC9-BC35-53621F3ABAA3}.bin	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\SoftwareDistribution\ReportingEvents.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\edb.log	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\CatRoot2\tmp.edb	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\ACEEvent.evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\AppEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\default.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SAM.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SecEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SECURITY.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\software.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\SysEvent.Evt	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\config\system.LOG	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\drivers\sptd.sys	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.BTR	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\INDEX.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING.VER	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\MAPPING2.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.DATA	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\system32\wbem\Repository\FS\OBJECTS.MAP	Das Objekt ist gesperrt	übersprungen
C:\WINDOWS\WindowsUpdate.log	Das Objekt ist gesperrt	übersprungen

Die Untersuchung wurde abgeschlossen.
         

wie aus dem file hervorgeht hab ich den hier drinne: RemoteAdmin.Win32.NetCat

und hier escan:

Code: Alles auswählenAufklappen

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK 
    
eScan Version: 9.5.4 
Sprache: German 
Virus-Datenbank Datum: 11/8/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
 Offending Folder found: C:\Dokumente und Einstellungen\KrawallSchachtel\Anwendungsdaten\icq\bart\1024 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKCR\magnet !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 41518 
 Gefundene Viren: 2 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 3 
 Dauer des Scans bisher: 00:21:22 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 Überprüfung der Festplatten: Aktiviert 
 Überprüfung aller Festplatten :Deaktiviert 
 
Batchstart: 13:46:42,62 
Batchende: 13:46:45,34
         

hier hab ich nen screen von dem was kaspersky sagt, habe die objekte in die sichere zone reingenommen, sonst kann man hier ja nimehr arbeiten...

tolle wurst...naja dann halt ni, ich such mir woanders hilfe...
verwarn ma schnell noch woanders...hättest ja wenigstens was informatifes dalassen können, wie zum beispiel hilfe..