|
Plagegeister aller Art und deren Bekämpfung: AVG-Scan : Trojan Horse Generic9.ATFNWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
23.01.2008, 10:38 | #1 |
| AVG-Scan : Trojan Horse Generic9.ATFN Hallo, bin neu hier im Forum.. also ersteinmal Gruss von mir an alle. Habe folgendes Problem: Bei einem AVG-Scan wurde folgende Datei gefunden :" Trojan Horse Generic9.ATFN ". Es sind insgesamt 12 Dateien infiziert. Am Ende des Scans bietet AVG keine Health-Option an. Ich weiß einfach nicht wie ich diesen Trojaner nun loswerden kann. Ein weiterer Scan mit Spybot - S&D kommt zu keinem Ergebnis und findet diesen Trojaner also nicht. Wäre nett wenn mir da jemand weiterhelfen könnte... Vielen Dank schon einmal Gruß Bennior P.S. hier der Logfile von Hijackthis: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 10:11:42, on 23.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe C:\WINDOWS\system32\Rundll32.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\****\Cisco VPN Client\cvpnd.exe C:\Programme\MagicTune Premium\MagicTuneEngine.exe C:\Programme\Opera\Opera.exe C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\WINDOWS\system32\wuauclt.exe C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat C:\Programme\WinRAR\WinRAR.exe C:\WINDOWS\system32\taskmgr.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\Beni\LOKALE~1\Temp\Rar$EX00.109\HijackThis.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [ISUSPM] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: GammaTray.lnk = ? O4 - Global Startup: RWTH Aachen Cisco VPN Client.lnk = C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Autodesk Licensing Service - Autodesk - C:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\****\Cisco VPN Client\cvpnd.exe O23 - Service: MagicTuneEngine - Unknown owner - C:\Programme\MagicTune Premium\MagicTuneEngine.exe -- End of file - 5285 bytes |
23.01.2008, 13:23 | #2 |
> MalwareDB | AVG-Scan : Trojan Horse Generic9.ATFN In dem Log finde ich nichts.
__________________gehe wiefolgt vor. - öffne AVG - klicke auf Test Center - klicke auf Test Results - klicke den Scan an, der die Bedrohungen gefunden hat - klicke auf den Reiter "Program" - klicke auf export List to File - wähle unter Dateityp "semicolon delimited (.txt)" - speichere die Datei mit dem Namen z.B. Scan.txt auf dem Desktop - Lade die Datei hier hoch. |
23.01.2008, 15:52 | #3 |
| AVG-Scan : Trojan Horse Generic9.ATFN Hi. Hoffe das hilft Dir weiter...
__________________"General properties";"" "Report name";"Complete Test" "Start time";"23.01.2008 08:22:24" "End time";"23.01.2008 09:15:24 (total: 53:58.8 Min)" "Launch method";"Scanning launched by scheduler" "Scanning result";"Threats found" "Report status";"Scanning completed successfully" " ";"" "Object summary";"" "Scanned";"84499" "Threats Found";"10" "Cleaned";"0" "Moved to vault";"0" "Deleted";"0" "Errors";"0" "C:\WINDOWS\system32\kernel32.dll";"Change";"Changed" "C:\WINDOWS\system32\shell32.dll";"Change";"Changed" "C:\4600\R54548.EXE:\DiTools.exe:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeEng\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "C:\4600\R54548.EXE:\DiTools.exe:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeGer\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "C:\4600\R54548.EXE";"Trojan horse Generic9.ATFN";"Infected, Archive" "C:\dell\drivers\R54548\DiTools.exe:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeEng\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "C:\dell\drivers\R54548\DiTools.exe:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeGer\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "C:\dell\drivers\R54548\DiTools.exe";"Trojan horse Generic9.ATFN";"Infected, Archive" "C:\Dokumente und Einstellungen\Beni\Lokale Einstellungen\Temp\$2BD42762.t$m:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeEng\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "C:\Dokumente und Einstellungen\Beni\Lokale Einstellungen\Temp\$2BD42762.t$m:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeGer\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "C:\Dokumente und Einstellungen\Beni\Lokale Einstellungen\Temp\$2BD42762.t$m";"Trojan horse Generic9.ATFN";"Infected, Archive" "C:\Dokumente und Einstellungen\Beni\Lokale Einstellungen\Temp\$3D3B4D44.t$m:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeEng\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "C:\Dokumente und Einstellungen\Beni\Lokale Einstellungen\Temp\$3D3B4D44.t$m:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeGer\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "C:\Dokumente und Einstellungen\Beni\Lokale Einstellungen\Temp\$3D3B4D44.t$m";"Trojan horse Generic9.ATFN";"Infected, Archive" "D:\x\Neuer Ordner\4600\R54548.EXE:\DiTools.exe:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeEng\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "D:\x\Neuer Ordner\4600\R54548.EXE:\DiTools.exe:\\windows\MngSys.exe:\\Progra~1\EICON\Diva\DfExeGer\logvu.exe";"Trojan horse Generic9.ATFN";"Infected, Embedded object" "D:\x\Neuer Ordner\4600\R54548.EXE";"Trojan horse Generic9.ATFN";"Infected, Archive" |
24.01.2008, 08:19 | #4 |
> MalwareDB | AVG-Scan : Trojan Horse Generic9.ATFN Zu den Infektionen kann man so wenig sagen, sehen aus wie Treiber Dateien. Schau mal hier, ob Dir die Anleitung hilft. Silentrunners Logfile -Lade dir das Tool -> Silentrunners -Entpacke das Script in einen Ordner deiner Wahl -Doppelklick auf -> Silent Runners -> Option Supplementary Searches auswählen -System wird nun überprüft, nach Beendigung wird eine Log-Datei erstellt (Dein Antiviren-Scanner könnte eine Meldung wegen „bösartigem Script“ erstellen, ignoriere dieses und arbeite weiter!) -Dann öffne die Silent Runners xxx.txt mit einem Editor und kopiere den gesamten Inhalt ab und füge ihn in einen Beitrag ein. (Strg+A markieren -> Strg+C kopieren -> Strg+V einfügen) |
24.01.2008, 10:32 | #5 |
| AVG-Scan : Trojan Horse Generic9.ATFN "Silent Runners.vbs", revision 55, http://www.silentrunners.org/ Operating System: Windows XP SP2 Output limited to non-default values, except where indicated by "{++}" Startup items buried in registry: --------------------------------- HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++} "CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS] "SpybotSD TeaTimer" = "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" ["Safer Networking Limited"] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++} "AVG7_CC" = "C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP" ["GRISOFT, s.r.o."] "P17Helper" = "Rundll32 P17.dll,P17Helper" [MS] "UpdReg" = "C:\WINDOWS\UpdReg.EXE" ["Creative Technology Ltd."] "ISUSPM" = ""C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\ISUSPM.exe" -scheduler" ["Macrovision Corporation"] "QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."] "TkBellExe" = ""C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot" ["RealNetworks, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\ {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided) -> {HKLM...CLSID} = "Adobe PDF Reader" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll" ["Adobe Systems Incorporated"] {3049C3E9-B461-4BC5-8870-4C09146192CA}\(Default) = (no title provided) -> {HKLM...CLSID} = "RealPlayer Download and Record Plugin for Internet Explorer" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll" ["RealPlayer"] {53707962-6F74-2D53-2644-206D7942484F}\(Default) = (no title provided) -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\PROGRA~1\SPYBOT~1\SDHelper.dll" ["Safer Networking Limited"] {761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided) -> {HKLM...CLSID} = "SSVHelper Class" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\ "{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung" -> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung" \InProcServer32\(Default) = "deskpan.dll" [file not found] "{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons" -> {HKLM...CLSID} = "HyperTerminal Icon Ext" \InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."] "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Shell Extension" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."] "{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}" = "AVG7 Find Extension" -> {HKLM...CLSID} = "AVG7 Find Extension Class" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."] "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" = "WinRAR shell extension" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] "{cc86590a-b60a-48e6-996b-41d25ed39a1e}" = "Portable Media Devices Menu" -> {HKLM...CLSID} = "Portable Media Devices Menu" \InProcServer32\(Default) = "C:\WINDOWS\system32\Audiodev.dll" [MS] "{AC1DB655-4F9A-4c39-8AD2-A65324A4C446}" = "Autodesk Drawing Preview" -> {HKLM...CLSID} = "ACTHUMBNAIL" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcThumbnail16.dll" ["Autodesk"] "{36A21736-36C2-4C11-8ACB-D4136F2B57BD}" = "Symbol-Overlay-Steuerprogramm für AutoCAD Digitale Signaturen" -> {HKLM...CLSID} = "AcSignIcon" \InProcServer32\(Default) = "C:\WINDOWS\system32\AcSignIcon.dll" ["Autodesk"] "{6DEA92E9-8682-4b6a-97DE-354772FE5727}" = "Autodesk DWF Preview" -> {HKLM...CLSID} = "ACDWFTHMBPRXY" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Autodesk Shared\Thumbnail\AcDwfThmbPrxy16.dll" ["Autodesk"] "{B94E2601-D7A1-11d4-A1EE-444553540000}" = "PNAgent IconH" -> {HKLM...CLSID} = "DesktopPortal Icon Handler" \InProcServer32\(Default) = "C:\Programme\Citrix\ICA Client\dpihand.dll" ["Citrix Systems, Inc."] "{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler" -> {HKLM...CLSID} = "Microsoft Office Outlook" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS] "{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler" -> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung" \InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS] "{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS] "{F0CB00CD-5A07-4D91-97F5-A8C92CDA93E4}" = "Shell Extensions for RealOne Player" -> {HKLM...CLSID} = "RealOne Player Context Menu Class" \InProcServer32\(Default) = "C:\Programme\Real\RealPlayer\rpshell.dll" ["RealNetworks, Inc."] HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ <<!>> AtiExtEvent\DLLName = "Ati2evxx.dll" ["ATI Technologies Inc."] HKLM\SOFTWARE\Classes\PROTOCOLS\Filter\ <<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}" -> {HKLM...CLSID} = (no title provided) \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS] HKLM\SOFTWARE\Classes\Folder\shellex\ColumnHandlers\ {F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = "PDF Column Info" -> {HKLM...CLSID} = "PDF Shell Extension" \InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\PDFShell.dll" ["Adobe Systems, Inc."] HKLM\SOFTWARE\Classes\*\shellex\ContextMenuHandlers\ AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."] ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Directory\shellex\ContextMenuHandlers\ ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}" -> {HKLM...CLSID} = "MCLiteShellExt Class" \InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] HKLM\SOFTWARE\Classes\Folder\shellex\ContextMenuHandlers\ AVG7 Shell Extension\(Default) = "{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}" -> {HKLM...CLSID} = "AVG7 Shell Extension Class" \InProcServer32\(Default) = "C:\Programme\Grisoft\AVG Free\avgse.dll" ["GRISOFT, s.r.o."] WinRAR\(Default) = "{B41DB860-8EE4-11D2-9906-E49FADC173CA}" -> {HKLM...CLSID} = "WinRAR" \InProcServer32\(Default) = "C:\Programme\WinRAR\rarext.dll" [null data] Default executables: -------------------- <<!>> HKCU\Software\Classes\.scr\(Default) = "AutoCADScriptFile" <<!>> HKCU\Software\Classes\AutoCADScriptFile\shell\open\command\(Default) = ""C:\WINDOWS\system32\notepad.exe" "%1"" [MS] Group Policies {GPedit.msc branch and setting}: ----------------------------------------------- Note: detected settings may not have any effect. HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\ "shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Shutdown: Allow system to be shut down without having to log on} "undockwithoutlogon" = (REG_DWORD) dword:0x00000001 {Computer Configuration|Windows Settings|Security Settings|Local Policies|Security Options| Devices: Allow undock without having to log on} Active Desktop and Wallpaper: ----------------------------- Active Desktop may be disabled at this entry: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState Displayed if Active Desktop enabled and wallpaper not set by Group Policy: HKCU\Software\Microsoft\Internet Explorer\Desktop\General\ "Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Displayed if Active Desktop disabled and wallpaper not set by Group Policy: HKCU\Control Panel\Desktop\ "Wallpaper" = "C:\Dokumente und Einstellungen\Beni\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp" Startup items in "Beni" & "All Users" startup folders: ------------------------------------------------------ C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart "GammaTray" -> shortcut to: "C:\Programme\MagicTune Premium\GammaTray.exe" [empty string] "***** Cisco VPN Client" -> shortcut to: "C:\Programme\RWTH Aachen\Cisco VPN Client\vpngui.exe "-user_logon"" ["Cisco Systems, Inc."] Enabled Scheduled Tasks: ------------------------ "AppleSoftwareUpdate" -> launches: "C:\Programme\Apple Software Update\SoftwareUpdate.exe -Task" ["Apple Computer, Inc."] Winsock2 Service Provider DLLs: ------------------------------- Namespace Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++} 000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] 000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS] 000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS] Transport Service Providers HKLM\SYSTEM\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++} 0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range: %SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 13 %SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05 Toolbars, Explorer Bars, Extensions: ------------------------------------ Explorer Bars HKLM\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\ HKLM\SOFTWARE\Classes\CLSID\{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = "&Recherchieren" Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar] InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS] Extensions (Tools menu items, main toolbar menu buttons) HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\ {08B0E5C0-4FCB-11CF-AAA5-00401C608501}\ "MenuText" = "Sun Java Konsole" "CLSIDExtension" = "{CAFEEFAC-0016-0000-0001-ABCDEFFEDCBC}" -> {HKCU...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\ssv.dll" ["Sun Microsystems, Inc."] -> {HKLM...CLSID} = "Java Plug-in 1.6.0_01" \InProcServer32\(Default) = "C:\Programme\Java\jre1.6.0_01\bin\npjpi160_01.dll" ["Sun Microsystems, Inc."] {92780B25-18CC-41C8-B9BE-3C9C571A8263}\ "ButtonText" = "Recherchieren" {B863453A-26C3-4E1F-A54D-A2CD196348E9}\ "ButtonText" = "ICQ Lite" "MenuText" = "ICQ Lite" "Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."] {FB5F1910-F110-11D2-BB9E-00C04F795683}\ "ButtonText" = "Messenger" "MenuText" = "Windows Messenger" "Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS] Running Services (Display Name, Service Name, Path {Service DLL}): ------------------------------------------------------------------ Ati HotKey Poller, Ati HotKey Poller, "C:\WINDOWS\system32\Ati2evxx.exe" ["ATI Technologies Inc."] AVG E-mail Scanner, AVGEMS, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe" ["GRISOFT, s.r.o."] AVG7 Alert Manager Server, Avg7Alrt, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe" ["GRISOFT, s.r.o."] AVG7 Update Service, Avg7UpdSvc, "C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe" ["GRISOFT, s.r.o."] Cisco Systems, Inc. VPN Service, CVPND, ""C:\Programme\RWTH Aachen\Cisco VPN Client\cvpnd.exe"" ["Cisco Systems, Inc."] Creative Service for CDROM Access, Creative Service for CDROM Access, "C:\WINDOWS\system32\CTsvcCDA.exe" ["Creative Technology Ltd"] MagicTuneEngine, MagicTuneEngine, "C:\Programme\MagicTune Premium\MagicTuneEngine.exe" [null data] Windows User Mode Driver Framework, UMWdf, "C:\WINDOWS\system32\wdfmgr.exe" [MS] Print Monitors: --------------- HKLM\SYSTEM\CurrentControlSet\Control\Print\Monitors\ Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS] ---------- (launch time: 2008-01-24 10:25:37) <<!>>: Suspicious data at a malware launch point. + This report excludes default entries except where indicated. + To see *everywhere* the script checks and *everything* it finds, launch it from a command prompt or a shortcut with the -all parameter. + To search all directories of local fixed drives for DESKTOP.INI DLL launch points, use the -supp parameter or answer "No" at the first message box and "Yes" at the second message box. ---------- (total run time: 53 seconds, including 15 seconds for message boxes) |
24.01.2008, 10:45 | #6 |
| AVG-Scan : Trojan Horse Generic9.ATFN Hi, nur kurz: Lass sie doch mal online scanne, vielleicht sind wir dann schlauer (Fehlalarm?)... Poste das Ergebnis von: D:\x\Neuer Ordner\4600\R54548.EXE virustotal Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren) --> Doppelklick auf die zu prüfende Datei --> klick auf "Send"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - einfügen http://www.virustotal.com/flash/index_en.html chris
__________________ --> AVG-Scan : Trojan Horse Generic9.ATFN |
24.01.2008, 13:30 | #7 |
| AVG-Scan : Trojan Horse Generic9.ATFN Hi. Das Ergebnis bei Virustotal ist wirklich komisch nur AVG findet etwas. Habe zwar nicht die Datei " D:\x\Neuer Ordner\4600\R54548.EXE " scannen lassen weil diese zu groß war, aber dafür diese Datei : " C:\Dokumente und Einstellungen\Beni\Lokale Einstellungen\Temp\$2BD42762.t$m " ( diese wird beim AVG-test ja auch als infiziert angegeben ). Hier das Ergebnis: Datei _2BD42762.t_m empfangen 2008.01.24 13:00:31 (CET)Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.1.24.11 2008.01.24 - AntiVir 7.6.0.48 2008.01.24 - Authentium 4.93.8 2008.01.24 - Avast 4.7.1098.0 2008.01.23 - AVG 7.5.0.516 2008.01.24 Generic9.ATFN BitDefender 7.2 2008.01.24 - CAT-QuickHeal 9.00 2008.01.23 - ClamAV 0.91.2 2008.01.24 - DrWeb 4.44.0.09170 2008.01.24 - eSafe 7.0.15.0 2008.01.16 - eTrust-Vet 31.3.5482 2008.01.24 - Ewido 4.0 2008.01.23 - FileAdvisor 1 2008.01.24 - Fortinet 3.14.0.0 2008.01.24 - F-Prot 4.4.2.54 2008.01.24 - F-Secure 6.70.13260.0 2008.01.24 - Ikarus T3.1.1.20 2008.01.24 - Kaspersky 7.0.0.125 2008.01.24 - McAfee 5214 2008.01.23 - Microsoft 1.3109 2008.01.24 - NOD32v2 2819 2008.01.24 - Norman 5.80.02 2008.01.23 - Panda 9.0.0.4 2008.01.23 - Prevx1 V2 2008.01.24 - Rising 20.28.31.00 2008.01.24 - Sophos 4.24.0 2008.01.24 - Sunbelt 2.2.907.0 2008.01.23 - Symantec 10 2008.01.24 - TheHacker 6.2.9.196 2008.01.23 - VBA32 3.12.2.5 2008.01.21 - VirusBuster 4.3.26:9 2008.01.23 - weitere Informationen File size: 9565927 bytes MD5: bac7cd144f48dd513e89aeaa1e794c25 SHA1: cabffee15f661f450b745530c4b2a91a3f7dfe36 PEiD: InstallShield 2000 packers: CAB |
24.01.2008, 14:12 | #8 |
| AVG-Scan : Trojan Horse Generic9.ATFN Hi, damit bleibt uns die Wahl zu überlegen, ob dies ein false/positiv ist (fälschlicherweise erkannt), oder die anderen Scanner sie einfach tatsächlich nicht erkennen.. Arrrggghhhh... Datei einfach an einige Scannerhersteller schicken und um Überprüfung bitten... Einstweilig würde ich die Teile aus dem Verkehr ziehen, d.h. packen und mit Passwort das Archiv schützen und dann von der Platte runterschrettern... chris
__________________ Don't bring me down Vor dem posten beachten! Spenden (Wer spenden will, kann sich gerne melden ) |
24.01.2008, 18:32 | #9 |
| AVG-Scan : Trojan Horse Generic9.ATFN Hi. Hab jetzt versucht alles soweit zu löschen .... das ging auch bis auf eine Datei wo die Fehlermeldung kommt, dass diese von einem anderem Programm verwendet wird... Wie krieg ich diese nun weg ? (C:\Dokumente und Einstellungen\Beni\Lokale Einstellungen\Temp\Rar$EX00.469\R54548) Geändert von Bennior (24.01.2008 um 18:43 Uhr) |
25.01.2008, 10:30 | #10 |
| AVG-Scan : Trojan Horse Generic9.ATFN So hab das Ding nun beseitigt... Danke für die Hilfe |
Themen zu AVG-Scan : Trojan Horse Generic9.ATFN |
adobe, alert, bho, cisco vpn, dll, e-mail, excel, explorer, generic, hijack, hijackthis, hkus\s-1-5-18, infiziert., internet, internet explorer, logfile, loswerden, opera, pdf, problem, rundll, s-1-5-18, server, system, temp, trojan, trojaner, windows, windows xp |