Kaspersky und eScan melden Trojaner!

sunset603 · 14.11.2007, 00:19

Servus

neu aufsetzen ist schon ein weilchen her und ich bin vor kurzem umgezogen..
ich nutze neu cablecom und dies (noch) ohne router.

nun bemerkte ich bei diversen programmen, dass diese schlechter ausgeführt werden als ich mir des gewohnt bin...

kaspersky meldete mir schon diverse male, dass versucht wird, registry einträge zu verändern usw.. habe dies natürlich immer verboten (soweit ich mich erinern kann...)

und doch habe ich heute beim genauer hinsehen bemerkt, dass da anscheinend
trojan downloader auf meinem system sein sollen....

kann sich bitte jemand mal mein log file anschauen und mir einen tip geben?
wenn möglich möchte ich natürlich nicht neu aufsetzen

herzlichen dank für eure hilfe.

gruss, sunset.

Code:

ATTFilter

Logfile of HijackThis v1.99.1
Scan saved at 00:05:16, on 14.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\brsvc01a.exe
C:\WINDOWS\System32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\ezSP_Px.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\sony\keyboard closure setup\KSWServ.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.club-vaio.sony-europe.com/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Keyboard Closure Setup.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - C:\Programme\MANSION\Villa\MANSION.exe
O9 - Extra 'Tools' menuitem: MANSION - {CD03D14B-0EF6-4f5a-BB81-1ECAFFC676AF} - C:\Programme\MANSION\Villa\MANSION.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=hxxp://www.club-vaio.sony-europe.com/
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\System32\brsvc01a.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe
O23 - Service: VAIO Media Video Server (VAIOMediaPlatform-VideoServer-AppServer) - Unknown owner - C:\Programme\sony\giga pocket\GPVSvr.exe" /Service=VAIOMediaPlatform-VideoServer-AppServer /DisplayName="VAIO Media Video Server (file missing)
O23 - Service: VAIO Media Video Server (HTTP) (VAIOMediaPlatform-VideoServer-HTTP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-VideoServer-HTTP /RegRoot="SOFTWARE\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\VideoServer\HTTP (file missing)
O23 - Service: VAIO Media Video Server (UPnP) (VAIOMediaPlatform-VideoServer-UPnP) - Unknown owner - C:\Programme\Gemeinsame Dateien\sony shared\vaio media platform\UPnPFramework.exe (file missing)

ordell1234 · 14.11.2007, 00:37

Zitat:

Zitat von sunset603

kaspersky meldete mir schon diverse male, dass versucht wird, registry einträge zu verändern usw.. habe dies natürlich immer verboten (soweit ich mich erinern kann...)

Warum "natürlich" verboten? Registryänderungen gehören zur Tagesordnung, auch in den von Kaspersky überwachten Bereichen.

Zitat:

und doch habe ich heute beim genauer hinsehen bemerkt, dass da anscheinend
trojan downloader auf meinem system sein sollen....

Woraus schließt du das? Deinem HJT-log kann ich nichts Auffälliges entnehmen, was allerdings auch nicht viel heißt. Hilfreich wären die logs von Kaspersky und escan. Was wurde wo gefunden?

Gute Nacht

sunset603 · 14.11.2007, 14:55

wenn es mir spanisch vorkam, dann habe ich den eingriff verweigert..
hauptsächlich dann, wenn kaspersky den vorfall als bedrohung meldete..

bin aber schon eher paranoid, was die meldungen angeht..

werde heute abend mal die anderen logs posten..

ordell1234 · 14.11.2007, 15:54

Die hohe Kunst der Paranoia: Paranoid sein, bevor die Meldung kommt. Anschließend wirds deutlich ruhiger und der Klicki-Bunti-Zirkus sinkt auf Null. 180 Puls vorm PC sind schließlich auch nicht das Wahre.

sunset603 · 14.11.2007, 18:58

Zitat:

Zitat von ordell1234

Die hohe Kunst der Paranoia: Paranoid sein, bevor die Meldung kommt. Anschließend wirds deutlich ruhiger und der Klicki-Bunti-Zirkus sinkt auf Null. 180 Puls vorm PC sind schließlich auch nicht das Wahre.

haha, ich weiss schon ungefähr was cool ist und was nicht, aber ich war eigentlich immer nur mit brain.exe unterwegs..
leider hat das proggi manchmal vielleicht nen kleinen spinner und dann fange ich mir halt doch nen wurm ein...

als ich die gelegenheit hatte kaspersky zu insallieren hab ich dies dann getan, da ich hier immer gutes darüber gelesen hatte...

auf jeden fall habe ich da gestern folgendes entdeckt:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

beruhigend ist das ja wohl nicht gerade wa?

wie gesagt, eScan folgt.

ordell1234 · 14.11.2007, 21:47

Zitat:

Zitat von sunset603

Code:

ATTFilter

gefunden: Adware not-a-virus:AdWare.Win32.Casino.r	URL: h**p://***/PokerInstaller?lang=de&s=660020509121963839&os=660020509121963839&sr=105664&osr=105664&flag=No&l=&ic=0&st=0&bc=0&anid=0&se=900000&dl=527
gefunden: trojanisches Programm Trojan-Downloader.JS.Agent.ep	URL: h**p://***3gteam.info/images2/index.php
gefunden: potentiell gefährliche Software Invader (loader)	Prozess: C:\10000 fONTS\bonus\Fontnav\fontnav.exe
gefunden: potentiell gefährliche Software Hidden install	Prozess: F:\installs\cablecom_installer.exe
gefunden: trojanisches Programm Trojan-Downloader.JS.Psyme.le	URL: h**p://***/_ot/ne.cgi?p=admin
gefunden: trojanisches Programm Trojan.HTML.Agent.e	URL: http://themymoviessite.com/images/495/2/

beruhigend ist das ja wohl nicht gerade wa?

Nicht mehr lange, und du gewinnst ne Runde Neuaufsetzen. Schau dir die threads hier an: Es gibt kaum ein log ohne AVP und trotzdem sind die TOs durch die Bank weg infiziert... Bisher hat dich Kaspersky wohl gerettet, aber warten wir das log von escan ab.

Die URL-Meldungen stammen (vermutlich) vom Webschutz. Darunter findet sich u.A. ein link zu zlob und adware. Wenn du die Dateien nicht runtergeladen und ausgeführt hast, sehe ich keine Infektion.

Die "potentiell gefährl. Software"-Meldungen kommen vom proaktiven Schutz. Schau in die Hilfe zu Kaspersky, sie erklärt den proaktiven Schutz und die Bedeutung der Meldungen. "Potentiell" heißt: Kann, muß aber nicht schadhaft sein. Nimm auch mal die Details im Bericht unter die Lupe.

Ob es sich bei den Schriften (10.000 fonts) um vertrauenswürdige Software handelt, mußt du selbst wissen. Bei der cablecom-Software (Treiber oder Ähnliches

) gehe ich mal davon aus, ansonsten mach die Gegenprobe bei virustotal.com (bis öhm

10MB Dateigröße iirc)

Grüße

sunset603 · 14.11.2007, 22:57

hmm...

ja ich seh's schon kommen...

mich irritiert jedoch, dass eScan nur eine einzige virusinfektion findet..

zudem ist das log gigantisch gross..
hab ich da was nicht kapiert, oder wie soll ich das posten?
es sprengt die zeichenanzahl pro post bei weitem...

ordell1234 · 14.11.2007, 23:23

http://files.trojaner-board.de/find.bat anklicken -> Datei speichern unter -> find.bat auf dem Desktop speichern -> find.bat anklicken -> escan_neu.txt posten, that's it

sunset603 · 14.11.2007, 23:39

Zitat:

Zitat von ordell1234

http://files.trojaner-board.de/find.bat anklicken -> Datei speichern unter -> find.bat auf dem Desktop speichern -> find.bat anklicken -> escan_neu.txt posten, that's it

thank you kindly sir!

ich hoffe das reicht, wenn ich es jetzt einfach im normalen modus mache...

Code:

ATTFilter

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Header 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~  
find.bat Version 2007.06.16.01 

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL 
    
eScan Version: 9.5.5 
Sprache: German 
Virus-Datenbank Datum: 11/14/2007  
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Infektionsmeldungen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. 
 
 
~~~~~~~~~~~ 
Dateien 
~~~~~~~~~~~ 
~~~~ Infected files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Tagged files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
~~~~ Offending files 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Ordner 
~~~~~~~~~~~ 
~~~~~~~~~~~ 
Registry 
~~~~~~~~~~~ 
 Offending Key found: HKCR\magnet !!! 
 
 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Diverses 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
~~~~~~~~~~~~~~~~~~~~~~ 
Prozesse und Module 
~~~~~~~~~~~~~~~~~~~~~~ 
 Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... 
~~~~~~~~~~~~~~~~~~~~~~ 
Scanfehler 
~~~~~~~~~~~~~~~~~~~~~~ 
~~~~~~~~~~~~~~~~~~~~~~ 
Hosts-Datei 
~~~~~~~~~~~~~~~~~~~~~~ 
DataBasePath: %SystemRoot%\System32\drivers\etc 
Zeilen die nicht dem Standard entsprechen: 
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ 
Statistiken: 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Gescannte Dateien: 31058 
 Gefundene Viren: 1 
 Anzahl der desinfizierten Dateien: 0 
 Umbenannte Dateien: 0 
 Anzahl der gelöschten Dateien: 0 
 Anzahl Fehler: 31 
 Dauer des Scans bisher: 00:04:58 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
Scan-Optionen 
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~   
 Specherüberprüfung: Aktiviert 
 Registry Überprüfung: Aktiviert 
 System-Ordner Überprüfung: Aktiviert 
 Überprüfung der Systembereiche: Deaktiviert 
 Überprüfung der Dienste: Aktiviert 
 
Batchstart: 23:37:28,57 
Batchende: 23:37:38,21

ordell1234 · 14.11.2007, 23:45

Zitat:

Zitat von sunset603

Code:

ATTFilter

 Dauer des Scans bisher: 00:04:58

Sorry Sir, aber da haben Sie wohl was bei den scanoptionen verhauen.

Setze bitte alle Häkchen wie in den screenshots der Anleitung. Der scan läuft Minimum ne halbe Stunde, kann aber auch bis zu 2 Std. dauern.

edit: Oder lief der scan schon mal so lange durch und du hast ihn anschließend ein zweites Mal gestartet?

sunset603 · 14.11.2007, 23:49

huh..?? das kapier ich nicht..

der scan hat ca. 1 1/2 stunden gedauert...

liegt das daran, dass ich erst im nachhinein die find.bat ausgeführt habe?
nach anleitung sollte dies ja gleich nach dem scan im abgesicherten modus geschehen...

ordell1234 · 14.11.2007, 23:54

Ne, passt schon. Vermutlich hast du escan ein weiteres Mal kurz laufen lassen.

Also: Suche mwav.log (liegt in c:\bases_x\mwav.log, bzw in %temp%\mwav.log - kannst du so in den explorer eingeben) und lade die Datei bei File-Upload.net - Ihr kostenloser File Hoster! hoch. Stell den link von file-upload hier rein, dann schau ichs mir gleich an.

sunset603 · 15.11.2007, 00:06

ok, alles klar..

mwav

lass dir ruhig zeit, ich geh jetzt mal pennen.. schaue morgen wieder rein.

vielen dank für deine mühe!

Gruss

ordell1234 · 15.11.2007, 00:15

Zitat:

Optionen vom Benutzer ausgewählt:
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
StartUp-Ordner Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Festplattenüberprüfung deaktiviert
Verzeichniss Überprüfung: Deaktiviert

Wie gesagt, setz die richtigen Häkchen, sonst wirds nix.

Good fight, good night!

sunset603 · 15.11.2007, 17:58

also ich könnte schwören, dass ich es richtig gemacht habe...
ich machs nochmal und lade mir die grafik aufs desktop.
dann muss es stimmen...

Kaspersky und eScan melden Trojaner!

Log-Analyse und Auswertung: Kaspersky und eScan melden Trojaner!