| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: "Security Toolbar" und Trojan-Downloader.Win32.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
| |
20.11.2007, 13:39
| #1 | ||
  |  "Security Toolbar" und Trojan-Downloader.Win32. Hi, ja das ist mit Sicherheit faul: Onlinescann (poste das Ergebniss): virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zitat:
C:\WINDOWS\system32\wowxpyio.exe und C:\WINDOWS\icons (das gibt es eigentlich nicht unter XP, oder setzt Du eine spezielle SW ein um den Look von XP zu verändern (z.B. tuneup-utilities))? Schau mal was drinnen ist im Verzeichnis, sollte eigentlich ungefährlich gelöscht werden können.... Sicherheitshalber beide killen mit Avenger http://filepony.de/download-the_avenger/ Input script manually (anhaken) kopiere in: View/edit script Zitat:
das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Poste dann ein neues HJ-Log und ein Silentrunner-Log: Ziparchive in ein Verzeichnis auspacken, mit Doppelklick starten, "ja" auswählen. Die erstellte Datei findet sich im gleichen Verzeichnis wo das Script hinkopiert wurde, bitte in Editor laden und posten. http://www.silentrunners.org/Silent%20Runners.zip chris
__________________  Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden  ) |
|
20.11.2007, 14:36
| #2 | |||||
 | "Security Toolbar" und Trojan-Downloader.Win32.Zitat:
Datei process.exe empfangen 2007.11.20 13:57:59 (CET) Ergebnis: 7/32 (21.88%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2007.11.20.1 2007.11.20 Win-AppCare/PrcViewer.53248 AntiVir 7.6.0.34 2007.11.20 - Authentium 4.93.8 2007.11.20 - Avast 4.7.1074.0 2007.11.19 - AVG 7.5.0.503 2007.11.20 - BitDefender 7.2 2007.11.20 - CAT-QuickHeal 9.00 2007.11.20 - ClamAV 0.91.2 2007.11.20 - DrWeb 4.44.0.09170 2007.11.20 - eSafe 7.0.15.0 2007.11.14 - eTrust-Vet 31.3.5311 2007.11.20 - Ewido 4.0 2007.11.19 - FileAdvisor 1 2007.11.20 High threat detected Fortinet 3.11.0.0 2007.11.20 Misc/PrcViewer F-Prot 4.4.2.54 2007.11.19 - F-Secure 6.70.13030.0 2007.11.20 - Ikarus T3.1.1.12 2007.11.20 - Kaspersky 7.0.0.125 2007.11.20 - McAfee 5166 2007.11.19 potentially unwanted program PrcViewer Microsoft 1.3007 2007.11.20 - NOD32v2 2672 2007.11.20 Win32/PrcView Norman 5.80.02 2007.11.19 - Panda 9.0.0.4 2007.11.20 Application/Processor Prevx1 V2 2007.11.20 - Rising 20.19.10.00 2007.11.20 - Sophos 4.23.0 2007.11.20 - Sunbelt 2.2.907.0 2007.11.20 - Symantec 10 2007.11.20 - TheHacker 6.2.9.134 2007.11.19 Aplicacion/Processor.20 VBA32 3.12.2.5 2007.11.19 - VirusBuster 4.3.26:9 2007.11.19 - Webwasher-Gateway 6.0.1 2007.11.20 - Zitat:
Zitat:
Zitat:
Zitat:
Logfile of HijackThis v1.99.1 Scan saved at 14:24:15, on 20.11.2007 Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe c:\programme\a-squared free\a2service.exe C:\WINDOWS\ATKKBService.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Programme\avmwlanstick\WlanNetService.exe C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\CTHELPER.EXE C:\WINDOWS\system32\devldr32.exe C:\WINDOWS\system32\RunDLL32.exe C:\Programme\Softwin\BitDefender8\bdmcon.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\Programme\QuickTime\qttask.exe C:\Programme\avmwlanstick\FRITZWLANMini.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\ICQ\ICQLite.exe C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\****************\****************.exe C:\Programme\MODular SOftware\aBackup\aBackup.exe C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Dokumente und Einstellungen\Besitzer\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Jet Detection] C:\Programme\Creative-Soundtreiber\SBLive\PROGRAM\ADGJDet.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe" O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [AVMWlanClient] C:\Programme\avmwlanstick\FRITZWLANMini.exe O4 - HKLM\..\Run: [DevconDefaultDB] C:\WINDOWS\READREG /PSCONV={NO} /NO_DEFPS O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -minimize O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot O4 - Global Startup: aBackup.lnk = C:\Programme\MODular SOftware\aBackup\aBackup.exe O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Google AdSense Preview-Tool - http://pagead2.googlesyndication.com/pagead/preview/de/preview.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - htt****ww.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - ht****/security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - ht****download.bitdefender.com/resources/scan8/oscan8.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - htt****update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1170499116562 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - htt****security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - htt****download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {7B297BFD-85E4-4092-B2AF-16A91B2EA103} (WScanCtl Class) - htt****.ca.com/us/securityadvisor/virusinfo/webscan.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6729461A-777F-4EDB-A815-566CCF948D5B}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{985C07DA-2137-4934-86C8-0269A0B93F16}: NameServer = 192.168.2.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{BEFE0502-D1C4-4C99-BFDA-4D3972B14161}: NameServer = 192.168.2.1 O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - c:\programme\a-squared free\a2service.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AdobeVersionCue - Adobe Sytems - C:\Programme\Adobe\Adobe Version Cue\service\VersionCue.exe O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: AVM WLAN Connection Service - AVM Berlin - C:\Programme\avmwlanstick\WlanNetService.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) |
|
20.11.2007, 15:39
| #3 |
| | "Security Toolbar" und Trojan-Downloader.Win32. Hi,
__________________das hier ist Absicht? O4 - HKCU\..\Run: [****************] C:\Programme\****************\****************.exe und C:\Programme\****************\****************.exe Programme die aus den pers. Einstellungen oder von einem Temp-Verzeichnis gestartet werden, haben ein "gewisses" Risikopotential ;o)... Das hier kenne ich nicht, sollte aber Ok sein (wenn Du es kennst): 4 - Global Startup: aBackup.lnk = C:\Programme\MODular SOftware\aBackup\aBackup.exe So, der Silentrunner hat noch was ertappt, Trojan.Winfixer.Process: C:\WINDOWS\system32\mljgg.dll Bitte online prüfen lassen und ggf. killen lassen! chris
__________________ |
|
20.11.2007, 23:35
| #4 | |||
| | "Security Toolbar" und Trojan-Downloader.Win32.Zitat:
Zitat:
Zitat:
Habe nochmal eine hijack.txt in den anhang gepackt. Bisher treten auch keine Sympthome mehr auf. Denke der Rechner ist jetzt clean. Kann ich noch irgendwas machen um eventuelle Infektionen zu checken? Vielen Dank schonmal für Deine Hilfe. Kann heute schon viel besser schlafen  |
|
22.11.2007, 08:38
| #5 |
| | "Security Toolbar" und Trojan-Downloader.Win32. Hi, HJ-Log ist sauber, vielleicht noch mal Silentrunner laufen lassen und Log posten... Systemwiederherstellung bereinigen: Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus Wenn der Rechner einwandfrei läuft abschließend alle Systemwiederherstellungspunkte löschen lassen (der Trojaner wurde ev. mit gesichert und wenn Du auf einen Restorepunkt zurück gehen solltest, dann ist er wieder da) wie folgt: Arbeitsplatz ->rechte Maus -> Eigenschaften -> Systemwiederherstellung -> anhaken: "Systemwiederherstellung auf allen Laufwerken deaktivieren" -> Übernehmen -> Sicherheitsabfrage OK -> Fenster mit OK schliessen -> neu Booten; Dann das gleiche nochmal nur das Häkchen entfernen (dann läuft sie wieder). Einen ersten Restorepunkt setzten: Start->Programme->Zubehör->Systemprogramme->Systemwiederherstellung->einen Wiederherstellungspunkt erstellen->weiter, Beschreibung ausdenken->Erstellen chris
__________________ Don't bring me downVor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
|
| Themen zu "Security Toolbar" und Trojan-Downloader.Win32. |
| ad-ware, automatisch, avg, c:\windows, dateien, fehlermeldungen, folge, gen, hallo zusammen, hijack, hijackthis, internetseite, kaspersky, löschen, nicht löschen, online, programme, scan, security, seite, seiten, smitfraudfix, system, system32, windows |
Hybrid-Darstellung
