![]() |
|
Plagegeister aller Art und deren Bekämpfung: Trojan-Spy.Win32@mxWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Trojan-Spy.Win32@mx Hallo, ich habe seit einigen Tagen einen Trojaner/Wurm auf meinem PC. Ich verwende Windows XP. Das Problem ist, dass mein PC immer ausgeht, wenn ich ihn scannen/überprüfen lasse, egal mit welchem Programm (z.B. CCleaner, Kaspersky). Der PC geht dann einfach aus (ohne den Vorgang "Windows wird heruntergefahren"), fährt aber auch direkt wieder normal hoch. In der Taskleiste kam immer die Meldung "Trojan-Spy.Win32@mx" und danach kam noch eine Meldung mit einem Virus, dessen Bezeichnung ich nicht mehr weiß. Als das mit dem Trojaner angefangen hat, haben sich öfters Webseiten geöffnet wie z.B. "Ihre Festplatte wird nun gescannt" und immer öffnen sich, wenn der PC wieder hochfährt, dass ich ein Prgramm namens "Locussoftcorp LTD" runterladen soll. Also Hauptproblem ist wie gesagt, dass der PC immer einfach ausgeht, wenn ich die Festplatte scannen oder bereinigen lassen möchte. Und mittlerweile kommt dann immer eine Nachricht, wenn der PC ausgeht, die blau hinterlegt ist. Unter rechtsklick Arbeitsplatz, Erweitert habe ich das Häckchen bei der Einstellung "Automatisch Neustart durchführen" auch schon entfernt. Hat auch noch nichts geholfen. Hier habe ich eine Log-File mit HijackThis erstellen lassen: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:42:55, on 26.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Programme\NetProject\sbmdl.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Internet Service - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - C:\Programme\NetProject\wamdl.dll (file missing) O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2802] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe" O4 - HKLM\..\Run: [NI.UGES_0001_N122M2602] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe" O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Programme\NetProject\scit.exe O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Programme\NetProject\sbmntr.exe O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing) O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.iefixgate.com/redirect.php (file missing) O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 8450 bytes Ich hoffe mir kann jemand weiterhelfen und bedanke mich im Voraus. |
![]() | #2 | |
![]() | ![]() Trojan-Spy.Win32@mx mann mann mann...da hab ich aber schon bessere logs gesehen ;-)
__________________eins vorneweg : der pc ist überfüllt mit adware ! also müssen wir jetzt herausbekommen, wer (oder was) dafür verantwortlich ist.... obwohl meinerseits die fast vollkommene sicherheit auf malware besteht, folgende dateien bitte trotzdem noch bei Online Malware scan auswerten lassen, und ergebnis hier umgehend posten! Zitat:
|
![]() | #3 |
![]() | ![]() Trojan-Spy.Win32@mx Ich habe jetzt die 3 folgenden Dateien überprüfen lassen, habe allerdings diese 4 Dateien nicht finden können:
__________________C:\Programme\AdvancedCleaner Free\ian_monitor.exe C:\Programme\WinPCDoctor\SysRep.exe (statt dieser Datei von WinPCDoctor wurde mir nur die erste ausgewertete Datei angezeigt: strpmon.exe) C:\Programme\NetProject\scit.exe C:\Programme\NetProject\sbmntr.exe Datei: strpmon.exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.) Entdeckte Packprogramme: - Bit9 rapportiert: File not found A-Squared Keine Viren gefunden AntiVir TR/Crypt.CFI.Gen gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus Keine Viren gefunden Fortinet Keine Viren gefunden Ikarus Keine Viren gefunden Kaspersky Anti-Virus not-a-virus:FraudTool.Win32.ErrClean.a gefunden NOD32 Win32/Adware.AVSystemCare application gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Sus/ComPack-C gefunden (mögliche Variante) VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden Datei: setup_en[1].exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - Bit9 rapportiert: Not analyzed yet (more info) A-Squared Riskware.Downloader.Win32.WinFixer.ec gefunden AntiVir SPR/Fake.Syscontrol gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Downloader.Purityscan.AC gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Downloader.W32.WinFixer.cn gefunden Dr.Web Keine Viren gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus not-a-virus ![]() Fortinet Download/WinFixer gefunden Ikarus Win32.SuspectCrc gefunden Kaspersky Anti-Virus not-a-virus ![]() NOD32 Win32/Adware.WinFixer application gefunden Norman Virus Control W32/DLoader.FQUK gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Sus/ComPack-C gefunden (mögliche Variante) VirusBuster Keine Viren gefunden VBA32 Downloader.Win32.WinFixer.ec gefunden Datei: install_en[1].exe Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: - Bit9 rapportiert: High threat detected (more info) A-Squared Riskware.Downloader.Win32.WinFixer.au gefunden AntiVir SPR/Fake.Syscontrol gefunden ArcaVir Riskware.Downloader.Winfixer.Au gefunden Avast Keine Viren gefunden AVG Antivirus WinFixer.AJC gefunden BitDefender Trojan.Generic.73705 gefunden ClamAV Adware.Fakealert-39 gefunden CPsecure Downloader.W32.WinFixer.au gefunden Dr.Web Trojan.DownLoader.36408 gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus not-a-virus ![]() Fortinet Keine Viren gefunden Ikarus Keine Viren gefunden Kaspersky Anti-Virus not-a-virus ![]() NOD32 Win32/Adware.AVSystemCare application gefunden Norman Virus Control W32/WinFixer.AYK gefunden Panda Antivirus Application/AVSystemCare gefunden Rising Antivirus Trojan.DL.Win32.WinFixer.au gefunden Sophos Antivirus Keine Viren gefunden VirusBuster Keine Viren gefunden VBA32 Downloader.Win32.WinFixer gefunden |
![]() | #4 |
Gast | ![]() Trojan-Spy.Win32@mx hi bitte lasse folgende datei hier oder hier online scannen: O4 - HKLM\..\Run: [] C:\Programme\WinPCDoctor\SysRep.exe diese einträge bitte fixen: O2 - BHO: (no name) - {6860A44B-5D3E-433D-A7B5-D517F810D0E7} - C:\Programme\NetProject\sbmdl.dll (file missing) O3 - Toolbar: Internet Service - {DB9FBA9D-AB1B-4CC6-9745-F3B549D64E40} - C:\Programme\NetProject\wamdl.dll file missing) O4 - HKLM\..\Run: [SM_IAN] C:\Programme\AdvancedCleaner Free\ian_monitor.exe (zuerst im taskmanager prozess beenden) O4 - HKLM\..\Run: [NI.UGES_0001_N122M2602] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe" (prozess beenden) O4 - HKLM\..\Run: [NI.UGA6P_0001_N122M2802] "c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe" (auch hier zuerst prozess beenden) O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.iefixgate.com/redirect.php]IE Anti-Spyware (file missing) O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" (prozess vorher beenden) O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - h**p://www.iefixgate.com/redirect.php]IE Anti-Spyware (file missing) lade dir folgendes tool herunter ---> killbox lösche nun folgende dateien mit killbox: C:\Programme\NetProject ( den ganzen ordner!! Ich habe den Verdacht das dies die Ursache für all die Malware auf deinem system verantwortlich ist ![]() c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\install_en[1].exe c:\dokumente und einstellungen\from autumn to ashes\anwendungsdaten\setup_en[1].exe C:\Programme\WinPCDoctor (ist ja nichts systemlastiges also ganzen ordner löschen!!!!) C:\Programme\AdvancedCleaner Free (auch hier ganzen danach neues logfile posten ![]() ich hoffe habe alles notwendige gesagt ![]() lade dir das hier herunter und folge der darunterliegenden Beschreibung ps. bitte gehe auch noch in den abgesicherten modus und lasse dein system komplett scannen Geändert von virus (27.03.2008 um 22:06 Uhr) |
![]() | #5 |
![]() ![]() | ![]() Trojan-Spy.Win32@mx ...und wieder wird einem ahnungslosen glaubhaft erklärt, wie er so eine Windows-Büchse ohne Neuaufsetzen wieder auf Vordermann bekommt. Na denn........ ![]() |
![]() | #6 | |
Gast | ![]() Trojan-Spy.Win32@mxZitat:
![]() Das Neuaufsetzen fast immer die beste lösung ist bei Malwarebefall ist ja relativ klar ![]() ABER: die malware die dieser user drauf hat sollte man mit ein bisschen geduld wegkriegen ![]() ps. nimm dem user nicht die Hoffnung ![]() |
![]() | #7 |
![]() | ![]() Trojan-Spy.Win32@mx also, ich habe jetzt versucht mit combofix das problem zu lösen, aber das hat auch nicht funktioniert, weil der computer wieder mal einfach ausgegangen ist. wieso geht der denn immer aus, sobald ich ein programm starte, das die festplatte reinigen (z.b. ccleaner) oder scannen soll?? das einzige was probelmlos funktioniert ist HijackThis und der Online-Scan. hier ist die auswertung der datei "strpmon.exe" von WinPCDoctor: Auslastung: 0% 100% Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH Bit9 rapportiert: File not found A-Squared Keine Viren gefunden AntiVir Keine Viren gefunden ArcaVir Keine Viren gefunden Avast Keine Viren gefunden AVG Antivirus Generic10.BNR gefunden BitDefender Keine Viren gefunden ClamAV Keine Viren gefunden CPsecure Keine Viren gefunden Dr.Web Trojan.Fakealert.482 gefunden F-Prot Antivirus Keine Viren gefunden F-Secure Anti-Virus not-a-virus:FraudTool.Win32.ErrClean.a (6, 2, 616) gefunden Fortinet Keine Viren gefunden Ikarus DroppedWin32.Worm.Stration.EM gefunden Kaspersky Anti-Virus Keine Viren gefunden NOD32 Win32/Adware.AVSystemCare application gefunden Norman Virus Control Keine Viren gefunden Panda Antivirus Keine Viren gefunden Rising Antivirus Keine Viren gefunden Sophos Antivirus Sus/ComPack-C gefunden (mögliche Variante) VirusBuster Keine Viren gefunden VBA32 Keine Viren gefunden |
![]() | #8 |
![]() ![]() | ![]() Trojan-Spy.Win32@mx ...und wann glaubs Du meine Geschichte?? Es wird so ausgehen wie beschrieben! ![]() |
![]() | #9 |
> MalwareDB ![]() ![]() ![]() ![]() ![]() | ![]() Trojan-Spy.Win32@mx Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix -Boote im abgesicherten Modus -Starte es dann und lass das System Reinigen. (Option 2) ![]() -Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans, die C:\rapport.txt |
![]() | #10 |
![]() | ![]() Trojan-Spy.Win32@mx So, habe das jetzt mal gemacht. Einmal mit SmitFraudFix und dann noch einmal mit HiJackThis. Hat sich denn jetzt schon etwas geändert?? SmitFraudFix v2.308 Scan done at 19:26:28.26, 2008-03-30 Run from C:\Dokumente und Einstellungen\From Autumn To Ashes\Desktop\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:\Programme\Helper\ Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» DNS HKLM\SYSTEM\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer=192.168.2.1 HKLM\SYSTEM\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer=192.168.2.1 HKLM\SYSTEM\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer=192.168.2.1 »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:37, on 2008-03-30 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = Customize Your Settings R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe -- End of file - 6306 bytes @DocBrown: das weiß ich jetzt noch nicht ob ich deine geschichte glauben kann, ich bin nämlich kein fachmann, aber wenn das so stimmt wie du es sagst, dann könnte man ja bei jedem virus den pc formatieren und die ganzen programme gegen viren usw. würden nichts bringen oder hast du das jetzt speziell auf die malware bezogen?? |
![]() | #11 |
> MalwareDB ![]() ![]() ![]() ![]() ![]() | ![]() Trojan-Spy.Win32@mx Das Log sieht für mich sauber aus. |
![]() | #12 | |
![]() ![]() | ![]() Trojan-Spy.Win32@mxZitat:
Das ist richtig!! Und ich würde jeden raten neu zu formatieren, besonders wenn man sensible Daten auf der Platte hat. Ein Schutz davor kann meine beschriebene Lösungsmöglichkeit sein. Sie kostet etwas arbeit, aber danach läuft die Kiste richtig. ZU deinem Loggfile-: Sieht so sauber aus..........aber . Wenn Du einfach nicht neu installieren willst dann nutze zur Überprüfung wenigstens das chinesische Tool ICESWORD. das ding hat zwar auch keinen bekannten Quellcode, muss aber zumindest nicht per .exe installiert werden. Vorher sehr gründlich mal die Anleitung durchlesen : http://c-ko.blogspot.com/2006/05/einfhrung-in-icesword.html Download: http://www.chip.de/downloads/IceSword-1.22_20302556.html Der JUnge hat AHNUNG !! Unter Icesword führst du nur folgende Operation am offenen Herzen durch: Reboot and Monitor Mit der Funktion File->Reboot and Monitor im Hauptmenü von IceSword kann man die Prozesserzeugung von Anfang an aufzeichnen. Wenn man diesen Menüpunkt auswählt, wird der Rechner neu gestartet. Wenn man dann IceSword öffnet, werden unter Log Process/Thread Creation alle Prozesse angezeigt, die während des Startvorgangs erzeugt wurden. Bei entsprechend gründlicher Überprüfung dieser Liste sollte man so gut wie jedes Schadprogramm finden (jedes, das als eine EXE Datei vorliegt, DLLs oder Treiber werden nicht angezeigt). SOLLTE AUCH NUR EINE ZEILE ,DIE NACH DEM REBOOT ANGEZEIGT WIRD, ROT MARKIERT SEIN SPRINGE ÜBER DEINEN SCHATTEN UND MACH DIE KISTE NEU. |
![]() | #13 |
![]() | ![]() Trojan-Spy.Win32@mx hier habe ich jetzt nochmal eine log-file, nach dem ich den CCleaner und den virenscanner Kaspersky drüberlaufen lassen habe. Kaspersky hatte noch einen trojaner gefunden, den ich dann gelöscht habe. und der pc ist kein einziges mal mehr einfach ausgegangen. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 21:10, on 2008-03-30 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16544) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\VTTimer.exe C:\WINDOWS\system32\VTtrayp.exe C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NortonAntiBot.exe C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABMonitor.exe C:\Programme\ICQ6\ICQ.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Winamp\winamp.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005 R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [EEventManager] C:\Programme\EPSON\Creativity Suite\Event Manager\EEventManager.exe O4 - HKLM\..\Run: [ClipIncSrvTray] "C:\Programme\Tobit ClipInc\Player\ClipIncTray.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe" O4 - HKLM\..\Run: [NortonAntiBot] "C:\Programme\Symantec\Norton AntiBot\agent\bin\NortonAntiBot.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Programme\Gemeinsame Dateien\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKUS\S-1-5-19\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\scieplugin.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS1\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O17 - HKLM\System\CS2\Services\Tcpip\..\{166A97E7-E10E-4E16-BEEF-27B80FE7CD01}: NameServer = 192.168.2.1 O23 - Service: Kaspersky Personal Security Suite V (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite V\avp.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: ClipInc 002 (ClipInc002) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: SiSoftware Database Agent Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\Win32\RpcDataSrv.exe O23 - Service: SiSoftware Sandra Agent Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite XIIc\RpcSandraSrv.exe O23 - Service: SymantecAntiBotAgent - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABAgent.exe O23 - Service: SymantecAntiBotWatcher - Symantec - C:\Programme\Symantec\Norton AntiBot\agent\Bin\NABWatcher.exe -- End of file - 6941 bytes |
![]() | #14 |
![]() | ![]() Trojan-Spy.Win32@mx und wie kann ich jetzt das ergebnis von IceSword hier rein kopieren? was bedeutet das denn, wenn da prozesse rot aufgeführt werden? und was ich noch wissen wollte, hab hier im forum manchmal was über "ausführbare dateien" gelesen. zählen dazu auch bilder, mp3s oder word-dokumente? Geändert von DJ86 (31.03.2008 um 15:36 Uhr) |
![]() | #15 |
![]() ![]() | ![]() Trojan-Spy.Win32@mx Rot: Prozess erzeugt neuen Thread in einem fremden Prozess. Die roten Einträge sollte man sich besonders genau ansehen. Das Erzeugen von einem Thread in einem fremden Prozess ist ein typisches Merkmal von Code-Injection bzw. DLL-Injection. Sind denn bei dir Prozesse nach dem reboot rot?? wieviele?? |
![]() |
Themen zu Trojan-Spy.Win32@mx |
adobe, bho, einstellung, einstellungen, ellung, excel, festplatte, firefox, helper, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, kaspersky, mozilla, mozilla firefox, personal security, pop-up-blocker, problem, programm, rundll, scan, security, security suite, server, software, system, taskleiste, urlsearchhook, virus, windows, windows xp. |