| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Über 600 gepackte Trojaner in Windows/Fonts !!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
11.03.2008, 13:05
| #1 |
 |  Über 600 gepackte Trojaner in Windows/Fonts !! Hallo ... also irgendwie werd ich die Probleme nicht los  Bei meiner täglichen Virenprüfung hat mir AV eimerweise Warnungen von .rar Dateien hergeschmissen, alles laut Avira AV TR/Drop.Agen.430080 , alles im Ordner C:\Windows\Fonts\_\ oder in C:\Windows\Fonts. Der Haken an der Sache ist , daß ich die Dateien zwar über die Suche finde, aber direkt im Dateiordner werden sie nicht angezeigt !! (Jaaa, Optionen versteckte Dateien/Systemdateien ist aktiviert) Über die Suche Funktion hab ich sage und schreibe 614 .rar Dateien in diesem Ornder gefunden !!!!! Klaro, alle gelöscht, aber woher zum Teufel kommt der Mist und wie verhindere ich daß das zeug wieder kommt??? Übrigens waren die rar Dateien benannt nach mehr oder weniger bekannten Programmen, die ich jedoch niemalsnicht geladen habe. Hier erstmal n Auszug aus dem AV-Log: C:\WINDOWS\Fonts\x.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48486b38.qua' verschoben! C:\WINDOWS\Fonts\_\101 Clips 8.10.00.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48076b3f.qua' verschoben! C:\WINDOWS\Fonts\_\110 Natural 1.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48066b47.qua' verschoben! C:\WINDOWS\Fonts\_\1914 Shells of Fury PC.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48076b53.qua' verschoben! C:\WINDOWS\Fonts\_\1CLICK DVD COPY - PRO 3.1.3.7.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48226b60.qua' verschoben! C:\WINDOWS\Fonts\_\1Click DVD Copy 5.4.3.7.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48426b62.qua' verschoben! C:\WINDOWS\Fonts\_\1CLICK DVD Copy Pro v3.1.3.6.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48226b65.qua' verschoben! C:\WINDOWS\Fonts\_\1CLICK DVDTOIPOD 1.1.2.9.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48226b67.qua' verschoben! C:\WINDOWS\Fonts\_\20 Years Old Girl Fucked In Bed And Bathroom.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47f66b57.qua' verschoben! C:\WINDOWS\Fonts\_\24 - Season 6 DVDRip XviD - MEDiEVAL.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47f66bab.qua' verschoben! C:\WINDOWS\Fonts\_\321 Video Converter 1.2.11.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48076bad.qua' verschoben! C:\WINDOWS\Fonts\_\321 Video Converter v1.2.11-PlanB.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48076bb0.qua' verschoben! C:\WINDOWS\Fonts\_\321 Xvid Converter 1.2.10.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48076c17.qua' verschoben! C:\WINDOWS\Fonts\_\32bit Convert It 08.03.04.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48386c1b.qua' verschoben! C:\WINDOWS\Fonts\_\32bit Email Broadcaster 08.03.04.rar [0] Archivtyp: RAR --> Setup.exe [FUND] Ist das Trojanische Pferd TR/Drop.Agen.430080 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48386d07.qua' verschoben! Und hier auch noch gleich das Hijacklog: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:59:22, on 11.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Kalenderchen\Kalenderchen.exe C:\Programme\TVgenial\TVgenial.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\javaw.exe C:\PROGRA~1\INCRED~1\bin\IMApp.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThisxx\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rtl.de/rtlaktuell/rtl_aktuell.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.rtl.de/rtlaktuell/rtl_aktuell.php R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.rtl.de/rtlaktuell/rtl_aktuell.php O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: T3ToolbarHelper Class - {164E93C4-09BF-4647-9E0B-D5FBB1D35E63} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O3 - Toolbar: DasÖrtliche Such-Leiste - {6E5B18CB-0EB6-4461-88B8-33B4683613D5} - C:\PROGRA~1\DASRTL~1\DASOER~1.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [DMS-Kalenderchen] C:\Programme\Kalenderchen\Kalenderchen.exe /autorun O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c O4 - HKCU\..\Run: [TVgenial] C:\Programme\TVgenial\TVgenial.exe -d O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe -- End of file - 4510 bytes winkers Kery |
| Themen zu Über 600 gepackte Trojaner in Windows/Fonts !! |
| adobe, antivir, avira, bho, converter, ctfmon.exe, dateien, dateiordner, email, excel, explorer, google, helper, heulen, hijackthis, hkus\s-1-5-18, internet, internet explorer, microsoft, namen, nicht angezeigt, object, ordner, pdf, programme, quara, software, suche, trojaner, video converter, windows, windows xp |
Baum-Darstellung