|
Log-Analyse und Auswertung: win32 trojaner-gen (other) gefundenWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
14.01.2008, 12:10 | #1 |
| win32 trojaner-gen (other) gefunden Morgen allerseits. Bei mir wurde gestern Abend von Gdata Antivir folgendes gefunden. Es wird versucht auf folgende Infizierte Datei zuzugreifen trojan-gen (other) Dieser soll sich im System32 befinden am Anfang in svcost dann noch mal in irgendeiner dll datei. Beim desinfizieren der Datei hatte ich dann bluescreen. Beim Virenscan von Windows System32 fand er ihn dann auch zweimal einmal konnte er wohl beim neustart gelöscht werden aber das zweite mal direkt in der system32.exe , beim Versuch des Löschens wieder bluescreen. Seid heut morgen keine Meldung mehr des Virenscanners werde gleich mal ein kompletten Systemscan machen. Anbei mal die Auswertung von Hjt... wär echt super wenn ihr mal drüber schauen könnt hab kein Bock System neu aufzusetzen... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:07:43, on 14.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16574) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Logitech\G-series Software\LGDCore.exe C:\Programme\Logitech\G-series Software\LCDMon.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Corel\Corel Snapfire\Corel Photo Downloader.exe C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Logitech\SetPoint\SetPoint.exe C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\G DATA InternetSecurity\AVK\Avk.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\XoftSpySE\xoftspy.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.yahoo.com R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: G DATA WebFilter - {0124123D-61B4-456f-AF86-78C53A0790C5} - C:\Programme\G DATA InternetSecurity\Webfilter\AVKWebIE.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [AVKTray] "C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -startup O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Snapfire\Corel Photo Downloader.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: G DATA Firewall Tray.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INetRepl.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\poker\PartyPokerNet\RunPF.exe O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - F:\poker\PartyPokerNet\RunPF.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1134220327609 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1134220316921 O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: AVKProxy - G DATA Software AG - C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: pcAnywhere Host-Modul (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe O23 - Service: G DATA Personal Firewall (GDFwSvc) - Unknown owner - C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Programme\TightVNC\WinVNC.exe (file missing) -- End of file - 10009 bytes |
14.01.2008, 12:23 | #2 |
| win32 trojaner-gen (other) gefunden Hi,
__________________das HJ-Log sieht eigentlich gut aus, ausser dem Eintrag: R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local... Combofix Lade es von http://download.bleepingcomputer.com/sUBs/ComboFix.exe und speichert es auf den Desktop. Alle Fenster schliessen und combofix.exe starten und bestätige die folgende Abfrage mit 1 und drücke Enter. Der Scan mit Combofix kann einige Zeit in Anspruch nehmen, also habe etwas Geduld. Während des Scans bitte nichts am Rechner unternehmen Es kann möglich sein, das der Rechner zwischendurch neu gestartet wird. Nach Scanende wird ein Report angezeigt, den bitte kopieren und in deinem Thread einfuegen. Chris
__________________ |
14.01.2008, 12:48 | #3 |
| win32 trojaner-gen (other) gefunden Hi Chris erstmal Danke für deine schnelle Antwort.
__________________Hab das jetzt mal so gemacht wie du mir das beschrieben hast hier die logfile: ComboFix 08-01-14.3 - Kleinerabuze 2008-01-14 12:43:49.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.455 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\Kleinerabuze\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((( Dateien erstellt von 2007-12-14 bis 2008-01-14 )))))))))))))))))))))))))))))) . 2008-01-14 12:43 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe 2008-01-14 12:36 . 2008-01-14 12:36 <DIR> d-------- C:\Deckard 2008-01-14 00:20 . 2008-01-14 00:20 <DIR> d-------- C:\WINDOWS\system32\ActiveScan 2008-01-14 00:20 . 2008-01-14 00:20 30,590 --a------ C:\WINDOWS\system32\pavas.ico 2008-01-14 00:20 . 2008-01-14 00:20 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico 2008-01-14 00:20 . 2008-01-14 00:20 1,406 --a------ C:\WINDOWS\system32\Help.ico 2008-01-14 00:07 . 2008-01-14 00:07 <DIR> d-------- C:\Programme\Trend Micro 2008-01-14 00:01 . 2008-01-14 00:01 <DIR> d-------- C:\Programme\XoftSpySE 2008-01-04 17:44 . 2008-01-14 11:55 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-01-04 17:44 . 2008-01-04 17:44 1,409 --a------ C:\WINDOWS\QTFont.for . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-29 13:29 --------- d-----w C:\Dokumente und Einstellungen\Kleinerabuze\Anwendungsdaten\Image Zone Express 2007-11-20 13:08 3,766 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys 2007-11-20 13:08 --------- d-----w C:\Dokumente und Einstellungen\Kleinerabuze\Anwendungsdaten\Corel 2007-11-07 09:27 729,600 ----a-w C:\WINDOWS\system32\lsasrv.dll 2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll 2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00 15360] "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2004-02-03 07:16 401491] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-08-02 16:35 7110656] "nwiz"="nwiz.exe" [2005-08-02 16:35 1519616 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-08-02 16:35 86016] "Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2004-12-10 12:45 49152 C:\WINDOWS\KHALMNPR.Exe] "Launch LGDCore"="C:\Programme\Logitech\G-series Software\LGDCore.exe" [2005-08-23 14:36 1110079] "Launch LCDMon"="C:\Programme\Logitech\G-series Software\LCDMon.exe" [2005-08-23 14:22 188416] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "NeroFilterCheck"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe" [2006-01-12 15:40 155648] "AVKTray"="C:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" [2006-09-28 11:31 872448] "PCSuiteTrayApplication"="C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe" [2006-11-08 13:27 222208] "QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2007-06-29 05:24 286720] "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-14 09:00 267064] "Corel Photo Downloader"="C:\Programme\Corel\Corel Snapfire\Corel Photo Downloader.exe" [2006-08-04 11:00 462336] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 13:00 15360] "PcSync"="C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe" [2006-11-09 17:15 1634304] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Acrobat Assistant.lnk - C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe [2003-05-15 00:19:50] G DATA Firewall Tray.lnk - C:\Programme\G DATA InternetSecurity\Firewall\GDFirewallTray.exe [2006-11-08 15:09:35] HP Digital Imaging Monitor.lnk - C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe [2005-05-11 23:23:26] Logitech SetPoint.lnk - C:\Programme\Logitech\SetPoint\SetPoint.exe [2005-12-10 13:10:27] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify] PCANotify.dll 2004-11-05 11:50 8704 C:\WINDOWS\system32\PCANotify.dll [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-] "MSMSGS"="C:\Programme\Messenger\Msmsgs.exe" /background "H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" "Yahoo! Pager"="C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-] "SoundMan"=SOUNDMAN.EXE "QuickTime Task"="C:\Programme\QuickTime\qttask.exe" -atboottime "iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" "DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" -lang 1033 "HP Software Update"=C:\Programme\HP\HP Software Update\HPWuSchd2.exe R0 GDNdisIc;GDNdisIc;C:\WINDOWS\system32\drivers\GDNdisIc.sys [2006-11-08 15:09] R2 AVKProxy;AVKProxy;"C:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe" [2006-10-04 09:47] R2 AVKService;AVK Service;C:\Programme\G DATA InternetSecurity\AVK\AVKService.exe [2006-09-04 11:41] R2 AVKWCtl;AVK Wächter;C:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe [2006-09-11 20:42] R2 drhard;drhard;C:\WINDOWS\system32\drivers\drhard.sys [2005-12-01 10:49] R2 GDTdiInterceptor;GDTdiInterceptor;C:\WINDOWS\system32\drivers\GDTdiIcpt.sys [2007-10-14 17:39] R2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys [2005-04-14 17:42] R2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys [2005-04-14 17:42] R2 UxTuneUp;TuneUp Designerweiterung;C:\WINDOWS\System32\svchost.exe [2004-08-04 13:00] R3 GDFwSvc;G DATA Personal Firewall;C:\Programme\G DATA InternetSecurity\Firewall\GDFwSvc.exe [2006-09-14 13:26] R3 GDMnIcpt;GDMnIcpt;C:\WINDOWS\system32\drivers\MiniIcpt.sys [2006-11-08 15:10] R3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2006-11-08 15:10] S3 HDJCtrl;Hercules DJ Control MP3 Service;C:\WINDOWS\system32\Drivers\HDJCtrl.sys [2005-07-29 14:06] S3 HDJMidi;Hercules DJ Console MIDI;C:\WINDOWS\system32\DRIVERS\HDJMidi.sys [2005-08-15 10:43] S3 SaiH0464;SaiH0464;C:\WINDOWS\system32\DRIVERS\SaiH0464.sys [2005-12-22 11:54] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs UxTuneUp [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13c32a1c-68c8-11da-9f3b-806d6172696f}] \Shell\AutoRun\command - D:\wizard.exe [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{aec73fd3-795e-11da-931d-e55168411936}] \Shell\AutoRun\command - P:\Setup\rsrc\autorun.exe \Shell\dinstall\command - P:\Directx\dxsetup.exe *Newly Created Service* - PROCEXP90 . Inhalt des "geplante Tasks" Ordners "2008-01-11 16:16:21 C:\WINDOWS\Tasks\1-Klick-Wartung.job" - C:\Programme\TuneUp Utilities 2007\SystemOptimizer.exe "2008-01-11 13:40:01 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programme\Apple Software Update\SoftwareUpdate.exe "2008-01-14 10:55:40 C:\WINDOWS\Tasks\XoftSpySE 2.job" - C:\Programme\XoftSpySE\XoftSpy.exe "2008-01-13 23:01:48 C:\WINDOWS\Tasks\XoftSpySE.job" - C:\Programme\XoftSpySE\XoftSpy.exe . ************************************************************************** |
14.01.2008, 17:18 | #4 |
| win32 trojaner-gen (other) gefunden Hi, sieht eigentlich auch Okay aus, wenn Du folgende Dateien kennst: D:\wizard.exe P:\Setup\rsrc\autorun.exe P:\Directx\dxsetup.exe C:\WINDOWS\system32\pavas.ico ggf. diese Dateien Online scannen lassen: virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html Zur Wiederherstellungskonsole: Wiederherstellungskonsole installieren: 1.XP-CD einlegen 2.Auf Start->Ausführen klicken 3.X:\i386\winnt32.exe /cmdcons - eingeben, X= der Laufwerksbuchstabe für das CD-Rom 4.Installation mit JA bestätigen 5.Neustart. Ab sofort hat man im Startmenü der Eintrag "Microsoft Windows-Wiederherstellungskonsole" chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
14.01.2008, 19:01 | #5 |
| win32 trojaner-gen (other) gefunden Danke estmal für deine Mühe. Was mich jetzt stutzig macht 1)D:\wizard.exe 2)P:\Setup\rsrc\autorun.exe 3)P:\Directx\dxsetup.exe 4)C:\WINDOWS\system32\pavas.ico zu Punkt 4 hab ich überprüfen lassen alles in Ordnung aber zu 1 D: is mein DVD Laufwerk und P: hab ich gar nicht |
15.01.2008, 07:39 | #6 |
| win32 trojaner-gen (other) gefunden Hi, kann Laufwerk P ein Memorystick/USB-Festplatte sein? Es gibt einige nette Zeitgenossen, die sich darüber verbreiten, durch so einen Eintrag startet der Genosse sich dann... Prüfe mal Deine Sticks bzw. USB-Festplatten. chris
__________________ --> win32 trojaner-gen (other) gefunden |
15.01.2008, 18:42 | #7 | ||
| win32 trojaner-gen (other) gefunden Hi Leute! bei mir wird auch dieser Trojaner-gen (Other) angezeigt! (GData) Zitat:
Zitat:
MfG eX Geändert von eXTasY86 (15.01.2008 um 18:51 Uhr) |
15.01.2008, 20:45 | #8 |
/// Helfer-Team | win32 trojaner-gen (other) gefunden |
Themen zu win32 trojaner-gen (other) gefunden |
adobe, anfang, antivir, bho, bluescree, desinfizieren, excel, explorer, firefox, firewall, g data, gdata, hijack, hijackthis, hkus\s-1-5-18, infizierte, infizierte datei, internet, internet explorer, mozilla, mozilla firefox, neustart, nvidia, rundll, s-1-5-18, scan, security, server, software, solution, super, symantec, system, system neu, system32.exe, urlsearchhook, windows, windows system, windows xp |