Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: escan erstellt - Hier das Ergebnis

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 21.05.2008, 14:39   #31
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Danke, myrtille

Alt 21.05.2008, 18:14   #32
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Das Removal Tool habe ich laufen lassen, die genannten Einträge hab ich jetzt mit HJT gefixt.
Der Avenger funktioniert aber nicht mehr.
Bei Execute bringt er die Fehlermeldung:
Zitat:
Error: Could not open RunOnce key to register cleanup. Aboarding execution!(error0: Der Vorgang wurde erfolgreich beendet.)
Und nu??

ps: vtUmMgHY.dll und winwim32.dll werden nicht mehr gefunden...
__________________


Alt 21.05.2008, 18:23   #33
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Hab neue Logs gemacht, HJT und iclean:

Zitat:
iclean log 20.05.2008 19:34:02

Windows XP SP2, Using advanced Kernel functions

Processes
---------
500 - \SystemRoot\System32\smss.exe - \SystemRoot\System32\smss.exe
776 - \??\C:\WINDOWS\system32\csrss.exe - \??\C:\WINDOWS\system32\csrss.exe
800 - \??\C:\WINDOWS\system32\winlogon.exe - \??\C:\WINDOWS\system32\winlogon.exe
844 - C:\WINDOWS\system32\services.exe - Anwendung für Dienste und Controller
880 - C:\WINDOWS\system32\lsass.exe - LSA Shell (Export Version)
1024 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1080 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1224 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1304 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1572 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1980 - C:\WINDOWS\system32\spoolsv.exe - Spooler SubSystem App
2024 - c:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe - Logitech LVPrcSrv Module. (Signed)
912 - C:\Programme\AntiVir PersonalEdition Classic\sched.exe - Antivirus Scheduler
1168 - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe - Antivirus On-Access Service
1212 - GOOGLEUPDATERSE - GOOGLEUPDATERSE
1340 - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE - Norton Protection Status
1404 - C:\WINDOWS\System32\nvsvc32.exe - NVIDIA Driver Helper Service, Version 53.03
1440 - C:\WINDOWS\system32\HPZipm12.exe - PML Driver
1508 - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE - NOPDB
1568 - C:\WINDOWS\system32\svchost.exe - Generic Host Process for Win32 Services
1604 - C:\WINDOWS\system32\wdfmgr.exe - Windows User Mode Driver Manager
968 - C:\WINDOWS\System32\alg.exe - Application Layer Gateway Service
2660 - GHOSTSTARTTRAYA - GHOSTSTARTTRAYA
2672 - C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe - Antivirus System Tray Tool
2684 - C:\Programme\FreePDF_XP\fpassist.exe - FreePDF Assistent für FreePDF3
2696 - C:\Programme\Adobe\Photoshop Elements 5.0\apdproxy.exe - Adobe Photo Downloader 3.0 component (Signed)
2740 - SPAMIHILATOR.EX - SPAMIHILATOR.EX
2772 - COMMUNICATIONS_ - COMMUNICATIONS_
2792 - C:\Programme\Logitech\QuickCam10\QuickCam10.exe - C:\Programme\Logitech\QuickCam10\QuickCam10.exe (Signed)
2836 - C:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe - LVCom Server (Signed)
2868 - C:\Programme\HP\HP Software Update\HPWuSchd2.exe - Hewlett-Packard Product Assistant
2948 - C:\WINDOWS\system32\ctfmon.exe - CTF Loader
2964 - LOGITECHDESKTOP - LOGITECHDESKTOP
2996 - SUPERANTISPYWAR - SUPERANTISPYWAR
2548 - C:\WINDOWS\system32\wscntfy.exe - Windows Security Center Notification App
2248 - C:\Programme\OnlineControl\ocontrol.exe - C:\Programme\OnlineControl\ocontrol.exe
2040 - C:\Programme\DT\Sinus 154 stick\Wifiusb.exe - Wireless LAN Configuration Utility
2760 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
3024 - C:\Programme\Logitech\QuickCam10\COCIManager.exe - Logitech Camera Control Interface (Signed)
3624 - C:\WINDOWS\system32\wuauclt.exe - Windows Update Automatic Updates (Signed)
1244 - C:\WINDOWS\explorer.exe - Windows Explorer
6620 - C:\Programme\CCleaner\CCleaner.exe - CCleaner (Signed)
7332 - C:\Programme\Mozilla Firefox\firefox.exe - Firefox (Signed)
6276 - C:\WINDOWS\System32\wbem\wmiprvse.exe - WMI
7784 - C:\Dokumente und Einstellungen\Jeff\Desktop\iclean.exe - Interactive Cleaner

Services
--------
C:\WINDOWS\system32\alg.exe=ALG
c:\programme\antivir personaledition classic\sched.exe=AntiVirScheduler
c:\programme\antivir personaledition classic\avguard.exe=AntiVirService
C:\WINDOWS\system32\svchost.exe=AudioSrv
C:\WINDOWS\system32\svchost.exe=BITS
C:\WINDOWS\system32\svchost.exe=Browser
C:\WINDOWS\system32\svchost.exe=CryptSvc
C:\WINDOWS\system32\svchost.exe=DcomLaunch
C:\WINDOWS\system32\svchost.exe=Dhcp
C:\WINDOWS\system32\svchost.exe=dmserver
C:\WINDOWS\system32\svchost.exe=Dnscache
C:\WINDOWS\system32\svchost.exe=ERSvc
C:\WINDOWS\system32\services.exe=Eventlog
c:\windows\system32\svchost.exe=EventSystem
C:\WINDOWS\system32\svchost.exe=FastUserSwitchingCompatibility
c:\programme\google\common\google updater\googleupdaterservice.exe=gusvc
C:\WINDOWS\system32\svchost.exe=helpsvc
C:\WINDOWS\system32\svchost.exe=Irmon
C:\WINDOWS\system32\svchost.exe=lanmanserver
C:\WINDOWS\system32\svchost.exe=lanmanworkstation
C:\WINDOWS\system32\svchost.exe=LmHosts
c:\programme\gemeinsame dateien\logitech\lvmvfm\lvprcsrv.exe=LVPrcSrv
C:\WINDOWS\system32\svchost.exe=Netman
C:\WINDOWS\system32\svchost.exe=Nla
c:\progra~1\norton~1\norton~2\nprotect.exe=NProtectService
C:\WINDOWS\system32\nvsvc32.exe=NVSvc
C:\WINDOWS\system32\svchost.exe=NWCWorkstation
C:\WINDOWS\system32\services.exe=PlugPlay
c:\windows\system32\hpzipm12.exe=Pml Driver HPZ12
C:\WINDOWS\system32\lsass.exe=PolicyAgent
C:\WINDOWS\system32\lsass.exe=ProtectedStorage
C:\WINDOWS\system32\svchost.exe=RasAuto
C:\WINDOWS\system32\svchost.exe=RasMan
C:\WINDOWS\system32\svchost.exe=RemoteRegistry
C:\WINDOWS\system32\svchost.exe=RpcSs
C:\WINDOWS\system32\lsass.exe=SamSs
C:\WINDOWS\system32\svchost.exe=Schedule
C:\WINDOWS\system32\svchost.exe=seclogon
C:\WINDOWS\system32\svchost.exe=SENS
C:\WINDOWS\system32\svchost.exe=SharedAccess
C:\WINDOWS\system32\svchost.exe=ShellHWDetection
c:\progra~1\norton~1\norton~2\speedd~1\nopdb.exe=Speed Disk service
C:\WINDOWS\system32\spoolsv.exe=Spooler
C:\WINDOWS\system32\svchost.exe=srservice
C:\WINDOWS\system32\svchost.exe=SSDPSRV
C:\WINDOWS\system32\svchost.exe=stisvc
C:\WINDOWS\system32\svchost.exe=TapiSrv
C:\WINDOWS\system32\svchost.exe=TermService
C:\WINDOWS\system32\svchost.exe=Themes
C:\WINDOWS\system32\svchost.exe=TrkWks
c:\windows\system32\wdfmgr.exe=UMWdf
C:\WINDOWS\system32\svchost.exe=W32Time
C:\WINDOWS\system32\svchost.exe=WebClient
C:\WINDOWS\system32\svchost.exe=winmgmt
C:\WINDOWS\system32\svchost.exe=wscsvc
C:\WINDOWS\system32\svchost.exe=wuauserv

Registry
--------
000=HKCU\Run: CTFMON.EXE=c:\windows\system32\ctfmon.exe
000=HKCU\Run: LDM=c:\programme\logitech\desktop messenger\8876480\program\logitechdesktopmessenger.exe
000=HKCU\Run: SUPERAntiSpyware=c:\programme\superantispyware\superantispyware.exe
000=HKLM\Run: Adobe Photo Downloader="c:\programme\adobe\photoshop elements 5.0\apdproxy.exe"
000=HKLM\Run: Adobe Reader Speed Launcher="c:\programme\adobe\reader 8.0\reader\reader_sl.exe"
000=HKLM\Run: avgnt="c:\programme\antivir personaledition classic\avgnt.exe" /min
000=HKLM\Run: FreePDF Assistant=c:\programme\freepdf_xp\fpassist.exe
000=HKLM\Run: GhostStartTrayApp=c:\programme\norton systemworks\norton ghost\ghoststarttrayapp.exe
000=HKLM\Run: HP Software Update=c:\programme\hp\hp software update\hpwuschd2.exe
000=HKLM\Run: LogitechCommunicationsManager="c:\programme\gemeinsame dateien\logitech\lcommgr\communications_helper.exe"
000=HKLM\Run: LogitechQuickCamRibbon="c:\programme\logitech\quickcam10\quickcam10.exe" /hide
000=HKLM\Run: LVCOMSX="c:\programme\gemeinsame dateien\logitech\lcommgr\lvcomsx.exe"
000=HKLM\Run: NeroFilterCheck=c:\windows\system32\nerocheck.exe
000=HKLM\Run: NvCplDaemon=c:\windows\system32\nvcpl.dll
000=HKLM\Run: nwiz=c:\windows\system32\nwiz.exe
000=HKLM\Run: Spamihilator="c:\programme\spamihilator\spamihilator.exe"
010=Kazaa entry found
020=SSODL: CDBurn=C:\WINDOWS\system32\shell32.dll
020=SSODL: PostBootReminder=C:\WINDOWS\system32\shell32.dll
020=SSODL: SysTray=c:\windows\system32\stobject.dll
020=SSODL: UPnPMonitor=c:\windows\system32\upnpui.dll
020=SSODL: WebCheck=C:\WINDOWS\system32\webcheck.dll
030=BHO: {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60}=(null) ()
030=BHO: {AF69DE43-7D58-4638-B6FA-CE66B5AD205D}=c:\programme\google\googletoolbarnotifier\2.1.1119.1736\swg.dll (Google Toolbar Notifier BHO)
031=Toolbar: {01E04581-4EEE-11D0-BFE9-00AA005B4383}=C:\WINDOWS\system32\browseui.dll
031=Toolbar: {0E5CBF21-D15F-11D0-8301-00AA005B4383}=C:\WINDOWS\system32\shell32.dll
031=Toolbar: {2318C2B1-4965-11D4-9B18-009027A5CD4F}=(null)
031=Toolbar: {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6}=(null)


Startup Folders
---------------
Common: desktop.ini
Common: microsoft office.lnk -> C:\PROGRA~1\MICROS~2\Office10\OSA.EXE
Common: onlinecontrol.lnk -> C:\PROGRA~1\ONLINE~3\ocontrol.exe
Common: sinus 154 stick wlan manager.lnk -> C:\Programme\DT\Sinus 154 stick\Wifiusb.exe
Common: logitech desktop messenger.lnk -> C:\PROGRA~1\Logitech\DESKTO~1\8876480\Program\LOGITE~1.EXE
Personal: desktop.ini

HOSTS
-----
# Copyright © 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a "#" symbol.
#
# For example:
#
# 102.54.94.97 rhino.acme.com # source server
# 38.25.63.10 x.acme.com # x client host
#
127.0.0.1 localhost
__________________

Alt 22.05.2008, 09:07   #34
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Zitat:
Der Avenger funktioniert aber nicht mehr.
nicht mehr? Das ist komisch. Schmeiße ihn nochmal komplett von der Platte und lade ihn dir neu herunter.

Allternativ lösche die Dateien bitte mit Killbox.


Wechsel in den abgesicherten Modus.


Repariere mit iClean folgende Einträge:
Zitat:
1340 - C:\PROGRA~1\NORTON~1\NORTON~2\NPROTECT.EXE - Norton Protection Status
1508 - C:\PROGRA~1\NORTON~1\NORTON~2\SPEEDD~1\NOPDB.EXE - NOPDB
Fixe mit HijackThis folgende Einträge:
Zitat:
O23 - Service: Workstation NetLogon Service (%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\iexd32.exe (file missing)
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)
O15 - Trusted IP range: 206.161.125.149

Lösche die Dateien:
Zitat:
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\Slave.exe
C:\WINDOWS\system32\iexd32.exe
und den Ordner:
Zitat:
C:\PROGRA~1\NORTON~1
Durchsuche deinen Rechner danach nach den Stichworten: Norton und Sysmantec. Lösche alles was gefunden wird.


Räume mit CCleaner auf. Starte den Rechner im normalen Modus neu.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 22.05.2008, 14:17   #35
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Alles erledigt
Wie siehts aus *zitter*?

Da beim Neustart eine Fehlermeldung in Bezug auf LvComSx.exe, habe ich (wie gefordert) chkdsk und chkdsk/F ausgeführt.
Jetzt passts in Bezug auf diese Felhlermeldung wieder.


Geändert von Jeff77 (22.05.2008 um 14:27 Uhr)

Alt 22.05.2008, 21:28   #36
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Hast du die Dateien mit Avenger oder Killbox gelöscht? Poste bitte das Avenger log wenn du ihn benutzt hast.

Hast du alles im abgesicherten Modus mit deaktivierter Systemwiederherstellung gemacht und ohne Neustart zwischen drinn gemacht?
__________________
--> escan erstellt - Hier das Ergebnis

Alt 23.05.2008, 07:53   #37
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Zitat:
Zitat von undoreal Beitrag anzeigen
Hast du die Dateien mit Avenger oder Killbox gelöscht? Poste bitte das Avenger log wenn du ihn benutzt hast.

Hast du alles im abgesicherten Modus mit deaktivierter Systemwiederherstellung gemacht und ohne Neustart zwischen drinn gemacht?
Habs mit Killbox gemacht, der Avenger funktionierte nicht mehr, auch nicht nachdem ich Ihn neu runtergeladen hatte.

Hab im abgesichterten Modus gestartet, dann:
die Killbox-Geschichte gemacht
Neustart direkt wieder in den abgesichterten Modus,
die Einträge 1340 und 1508 konnte ich nicht (mehr) finden, somit habe ich iclean ausgelassen
mit HJT die Einträge gefixt
die genannten Dateien gelöscht, soweit sie noch vorhanden waren
und alles, was mit Norton und Symantec zu tun hatte gelöscht
Anschließend mit CCleaner aufgeräumt
Neustart gemacht

Systemwiederherstellung ist seit Beginn dieser Geschichte deaktiviert.

Alt 23.05.2008, 13:18   #38
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Das der Avneger nicht mehr funktioniert ist äußerst Besorgnis erregend.

Zitat:
Hab im abgesichterten Modus gestartet, dann:
die Killbox-Geschichte gemacht
Neustart direkt wieder in den abgesichterten Modus,
die Einträge 1340 und 1508 konnte ich nicht (mehr) finden, somit habe ich iclean ausgelassen
mit HJT die Einträge gefixt
die genannten Dateien gelöscht, soweit sie noch vorhanden waren
und alles, was mit Norton und Symantec zu tun hatte gelöscht
Anschließend mit CCleaner aufgeräumt
Neustart gemacht
Das war die falsche Reihenfolge

Nochmal:

Wechsel in den abgesicherten Modus.

Lasse CWS laufen.

Fixe mit HijackThis folgende Einträge:

Zitat:
O23 - Service: Workstation NetLogon Service (%AF夶À¨) - Unknown owner - C:\WINDOWS\system32\iexd32.exe (file missing)
O23 - Service: RA Server (Slave) - Unknown owner - C:\WINDOWS\Slave.exe (file missing)
O15 - Trusted IP range: 206.161.125.149

Lösche die Dateien mit Killbox und der Option "delete on reboot".
Zitat:
C:\WINDOWS\system32\winver.exe
C:\WINDOWS\Slave.exe
C:\WINDOWS\system32\iexd32.exe
lasse den Rechner aber erst nach der letzten Datei neustarten! Also erst nachdem du die letzte Datei eingegeben hast den Neustart bestätigen. Steht auch in der Anleitung drinn wie man das macht.

Poste danach bitte ein frisches HJT log.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 23.05.2008, 17:41   #39
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Alles erledigt, diesmal richtig hoff ich

Oh, jetzt krieg ich grad eine Meldung von AntiVir über irgendeine envy.exe ?!

Alt 23.05.2008, 23:50   #40
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Zitat:
Oh, jetzt krieg ich grad eine Meldung von AntiVir über irgendeine envy.exe
Bei welcher Aktion meldet sich AntiVir?
Welcher Schädling?
Welcher Dateipfad?
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Alt 24.05.2008, 09:28   #41
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Das war direkt nach öffnen von Firefox, habs mit Antivir gleich gelöscht, seitdem kommt nichts mehr.

Ich muss Dir und allen anderen Verantwortlichen an dieser Stelle mal ein großes Dankeschön ausprechen für Deine bisherige Hilfe. Allein hätte ich das nie geschafft:aplaus::aplaus::aplaus:

Was ist eigentlich die winver.exe?
Die taucht bei mir immernoch 3x auf ( C:\WINDOWS\$NtServicePackUnsinstall$ , \system32\dllcache und in \ServicePackFiles\i386.
Laut Google ist winver.exe der Wurm W32.Momib.A.
Auf einer anderen Website steht :
Zitat:
Das Programm winver.exe ermittelt die installierte Version von Windows 2000
Ist die Datei nun schädlich, oder eher nicht? Mal davon abgesehen das ich garkein Win2000 habe... Ausserdem finde ich noch Slave.exe.q_2CF60F3_q und Slave.exe.q_2CF60F3_q.ini im Ordner \Anwendungsdaten\SecTaskMan

Geändert von Jeff77 (24.05.2008 um 10:18 Uhr)

Alt 24.05.2008, 10:34   #42
undoreal
/// AVZ-Toolkit Guru
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



WO wurde die envy.exe gefunden?
Und was für eine Schädlingsbezeichnung wurde ausgegeben?


Dein Rechner ist noch nicht sauber!


Die winver.exe sollte eigentlich in Ordnung sein..

Zitat:
$NtServicePackUnsinstall$
ist das so definitiv richtig geschrieben? Der pfad sollte eigentlich
Zitat:
$Ntservicepackuninstall$
heissen.


Dateien Online überprüfen lassen:


* Lasse dir auch die versteckten Dateien anzeigen!

* Suche die Seite Virtustotal auf. Kopiere folgenden Dateipfad per copy and paste in das Eingabefeld neben dem "Durchsuchen"-Button. Klicke danach auf "Senden der Datei"!

* Alternativ kannst du dir die Datei natürlich auch über den "Durchsuchen"-Button selbst heraussuchen.

Zitat:
C:\WINDOWS\system32\dllcache\winver.exe
C:\WINDOWS\$NtServicePackUninnstall$\winver.exe
C:\WINDOWS\ServicePackFiles\i386\winver.exe
Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)


PS: Hast du den Security Task Manager installiert?

Finden sich diese beiden Dateien auf deinem Rechner?
Zitat:
C:\WINDOWS\system32\iexd32.exe
C:\WINDOWS\Slave.exe
Folge bitte dieser Anleitung.
__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -

Geändert von undoreal (24.05.2008 um 10:41 Uhr)

Alt 24.05.2008, 11:00   #43
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Hi undoreal,

das war ein Schreibfehler meinerseits. Du hast recht mit ..uninstall..
Security Task Manager... ? Keine Ahnung was das ist - absichtlich habe ich Ihn jedenfalls nicht installiert.
envy.exe war in \system32
C:\WINDOWS\system32\iexd32.exe und C:\WINDOWS\Slave.exe sind nicht mehr vorhanden.

Neues Problem: AntiVir meldet sich, während niemand am PC arbeitete und vom Netzwerk getrennt war:

windows\system32\mnldfrmv.exe und windows\system32\kfkyuhwe.exe sind beide das Trojanische Pferd TR/PrivacySet.A

Ich werf die Kiste gleich in den Müll!

OK, Beruhigung!
Ich mach erstmal das was Du unten geschrieben hast.


Edit aus aktuellem Anlaß : AntiVir meldet C:\envy.exe = TR/Dldr.Small.vla

Geändert von Jeff77 (24.05.2008 um 11:08 Uhr)

Alt 24.05.2008, 11:09   #44
BataAlexander
> MalwareDB
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



Combofix

- Download ComboFix von hier oder hier auf Deinen Desktop.
- Deaktivere den Guard Deines Antivirenprogramms und eine eventuell vorhandene Software Firewall.
(Auch Guards von Ad-, Spyware Programmen!)
- Mache einen Doppelklick auf combofix.exe
- Wenn combofix fertig ist, legt es ein Logfile an. Poste dieses Logfile und ein neues HJT Logfile als nächste Antwort
Achtung: Während Combofix läuft klicke nichts an, und benutze den Rechner nicht.
__________________
If every computer is running a diverse ecosystem, crackers will have
no choice but to resort to small-scale, targetted attacks, and the
days of mass-market malware will be over
[...].
Stuart Udall

Alt 24.05.2008, 11:19   #45
Jeff77
 
escan erstellt - Hier das Ergebnis - Standard

escan erstellt - Hier das Ergebnis



C:\WINDOWS\system32\dllcache\winver.exe:

Zitat:
Datei winver.exe empfangen 2008.05.24 12:09:51 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.23 -
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.23 -
AVG 7.5.0.516 2008.05.24 -
BitDefender 7.2 2008.05.24 -
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV 0.92.1 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5817 2008.05.23 -
Ewido 4.0 2008.05.23 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.23 -
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.24 -
Kaspersky 7.0.0.125 2008.05.24 -
McAfee 5302 2008.05.23 -
Microsoft 1.3520 2008.05.24 -
NOD32v2 3128 2008.05.23 -
Norman 5.80.02 2008.05.23 -
Panda 9.0.0.4 2008.05.23 -
Prevx1 V2 2008.05.24 -
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.24 -
VirusBuster 4.3.26:9 2008.05.23 -
Webwasher-Gateway 6.6.2 2008.05.24 -
weitere Informationen
File size: 5632 bytes
MD5...: 1387f57eba4f6e77f5bf638ead3d29a9
SHA1..: 440679de9c17e45b25df4d3282eda93c8fb1b986
SHA256: a197c091c52c18839c7576b5b955cb75ec97d263edf31bc68aff351044136631
SHA512: d12bfc516ba2b5b7aef032817275c8a302d009ff848bbd45c9a7ddb29707be86
236d7ab53870e1969f3220679f1acc07e4fcea8ff587c351419c1f9849a0bc6d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10012a5
timedatestamp.....: 0x41107ddf (Wed Aug 04 06:10:39 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x656 0x800 5.30 a8d48cc2efdc51041e4da90d8403ccaa
.data 0x2000 0xc 0x200 0.18 0a51db8cd0b7c8717de6c352c99a5eed
.rsrc 0x3000 0x794 0x800 4.55 0bfbefb695c062549f6fbd1fb06985cf

( 3 imports )
> KERNEL32.dll: GetTimeFormatW, GetDateFormatW, FileTimeToSystemTime, FileTimeToLocalFileTime, GetModuleHandleW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter
> USER32.dll: LoadStringW
> SHELL32.dll: ShellAboutW

( 0 exports )
C:\WINDOWS\$NtServicePackUninnstall$\winver.exe:

Zitat:
Datei winver.exe empfangen 2008.05.24 12:16:03 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.23 -
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.23 -
AVG 7.5.0.516 2008.05.24 -
BitDefender 7.2 2008.05.24 -
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV 0.92.1 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5817 2008.05.23 -
Ewido 4.0 2008.05.23 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.23 -
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.24 -
Kaspersky 7.0.0.125 2008.05.24 -
McAfee 5302 2008.05.23 -
Microsoft 1.3520 2008.05.24 -
NOD32v2 3128 2008.05.23 -
Norman 5.80.02 2008.05.23 -
Panda 9.0.0.4 2008.05.23 -
Prevx1 V2 2008.05.24 -
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.24 -
VirusBuster 4.3.26:9 2008.05.23 -
Webwasher-Gateway 6.6.2 2008.05.24 -
weitere Informationen
File size: 4096 bytes
MD5...: ad531d22d1658d018a87d387aeff1756
SHA1..: 6ceebddcc7c7e9d519ce56acfbe511c8eaa492c0
SHA256: e4e1953dc48e90fe8439acd80275fcd711879bc418082091a6d17ca9d854f2e2
SHA512: 6e10aed24be64a81b7a1ee9205993731d0c88a07324a75f09562035eb4bb94a9
7a3d3bfe506a8cf2297c91450acf2a4b197ee42606bfa4ee5e318e40b4023b63
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10010d0
timedatestamp.....: 0x3b7d84a1 (Fri Aug 17 20:54:57 2001)
machinetype.......: 0x14c (I386)

( 2 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x2a0 0x400 4.16 e1eba78d219036e617d01e2be76218ae
.rsrc 0x2000 0x1000 0x800 4.57 909e3582fa9209672c4377cea4f1b89d

( 3 imports )
> KERNEL32.dll: GetTimeFormatW, GetDateFormatW, FileTimeToSystemTime, FileTimeToLocalFileTime, lstrcatW, GetModuleHandleW
> USER32.dll: LoadStringW
> SHELL32.dll: ShellAboutW

( 0 exports )

C:\WINDOWS\ServicePackFiles\i386\winver.exe:


Zitat:
Datei winver.exe empfangen 2008.05.24 12:17:37 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 0/32 (0%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: ___.
Geschätzte Startzeit is zwischen ___ und ___ .
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.5.22.1 2008.05.23 -
AntiVir 7.8.0.19 2008.05.23 -
Authentium 5.1.0.4 2008.05.23 -
Avast 4.8.1195.0 2008.05.23 -
AVG 7.5.0.516 2008.05.24 -
BitDefender 7.2 2008.05.24 -
CAT-QuickHeal 9.50 2008.05.24 -
ClamAV 0.92.1 2008.05.24 -
DrWeb 4.44.0.09170 2008.05.24 -
eSafe 7.0.15.0 2008.05.22 -
eTrust-Vet 31.4.5817 2008.05.23 -
Ewido 4.0 2008.05.23 -
F-Prot 4.4.4.56 2008.05.23 -
F-Secure 6.70.13260.0 2008.05.23 -
Fortinet 3.14.0.0 2008.05.24 -
GData 2.0.7306.1023 2008.05.23 -
Ikarus T3.1.1.26.0 2008.05.24 -
Kaspersky 7.0.0.125 2008.05.24 -
McAfee 5302 2008.05.23 -
Microsoft 1.3520 2008.05.24 -
NOD32v2 3128 2008.05.23 -
Norman 5.80.02 2008.05.23 -
Panda 9.0.0.4 2008.05.23 -
Prevx1 V2 2008.05.24 -
Rising 20.45.42.00 2008.05.23 -
Sophos 4.29.0 2008.05.24 -
Sunbelt 3.0.1123.1 2008.05.17 -
Symantec 10 2008.05.24 -
TheHacker 6.2.92.318 2008.05.23 -
VBA32 3.12.6.6 2008.05.24 -
VirusBuster 4.3.26:9 2008.05.23 -
Webwasher-Gateway 6.6.2 2008.05.24 -
weitere Informationen
File size: 5632 bytes
MD5...: 1387f57eba4f6e77f5bf638ead3d29a9
SHA1..: 440679de9c17e45b25df4d3282eda93c8fb1b986
SHA256: a197c091c52c18839c7576b5b955cb75ec97d263edf31bc68aff351044136631
SHA512: d12bfc516ba2b5b7aef032817275c8a302d009ff848bbd45c9a7ddb29707be86
236d7ab53870e1969f3220679f1acc07e4fcea8ff587c351419c1f9849a0bc6d
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x10012a5
timedatestamp.....: 0x41107ddf (Wed Aug 04 06:10:39 2004)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x656 0x800 5.30 a8d48cc2efdc51041e4da90d8403ccaa
.data 0x2000 0xc 0x200 0.18 0a51db8cd0b7c8717de6c352c99a5eed
.rsrc 0x3000 0x794 0x800 4.55 0bfbefb695c062549f6fbd1fb06985cf

( 3 imports )
> KERNEL32.dll: GetTimeFormatW, GetDateFormatW, FileTimeToSystemTime, FileTimeToLocalFileTime, GetModuleHandleW, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, TerminateProcess, GetCurrentProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter
> USER32.dll: LoadStringW
> SHELL32.dll: ShellAboutW

( 0 exports )

Antwort

Themen zu escan erstellt - Hier das Ergebnis
acroiehelper.dll, adware, antivir, antivirus, avp, backdoor, browser, c:\windows\temp, content.ie5, controlset002, dateisystem, desktop, drivers, einstellungen, fehlalarm, fehler, firefox, helper, internet, internet explorer, logon.exe, maßnahme, mozilla, mozilla firefox, prozesse, quara, registrierungsdatenbank, security, software, spyware, start menu, system, trojan.win32.monder.gen, virus, windows, windows xp, windows\system32\drivers, windows\temp, winupdate.exe




Ähnliche Themen: escan erstellt - Hier das Ergebnis


  1. BDS/Papras.OU - Hier Malwarebytes-Ergebnis
    Mülltonne - 08.09.2010 (1)
  2. Ständig POP UPS , eScan File gemacht und hier drin ! Danke
    Plagegeister aller Art und deren Bekämpfung - 23.08.2008 (3)
  3. hab hier eine Hijackthis erstellt und leider blicke ich da nicht durch.
    Log-Analyse und Auswertung - 08.05.2008 (20)
  4. Escan Erstellt Ordnern
    Antiviren-, Firewall- und andere Schutzprogramme - 27.01.2008 (4)
  5. BDS Agent cyk/cyp! Hier das hijack & escan...
    Log-Analyse und Auswertung - 11.12.2007 (1)
  6. Ergebnis Escan. Schlimm, oder eher harmlos?
    Log-Analyse und Auswertung - 17.03.2006 (22)
  7. HILFE! Beunruhigendes Escan Ergebnis
    Plagegeister aller Art und deren Bekämpfung - 25.01.2006 (1)
  8. Ergebnis eScan
    Plagegeister aller Art und deren Bekämpfung - 07.09.2005 (1)
  9. Ergebnis von eScan
    Plagegeister aller Art und deren Bekämpfung - 25.07.2005 (1)
  10. 18 Viren....Hilfe...hier mein ESCAN Treffer.....
    Plagegeister aller Art und deren Bekämpfung - 19.07.2005 (20)
  11. was sollte mir das escan ergebnis sagen ?
    Plagegeister aller Art und deren Bekämpfung - 26.06.2005 (8)
  12. eScan-Ergebnis
    Plagegeister aller Art und deren Bekämpfung - 13.06.2005 (24)
  13. hallo saint hier is mein escan log
    Log-Analyse und Auswertung - 24.05.2005 (1)
  14. eScan-Ergebnis mit "HauisTool"
    Antiviren-, Firewall- und andere Schutzprogramme - 10.05.2005 (6)
  15. Ergebnis Von Escan Und Hijack Wie Weiter?
    Plagegeister aller Art und deren Bekämpfung - 16.02.2005 (11)
  16. Bitte um Hilfe mit escan Ergebnis
    Plagegeister aller Art und deren Bekämpfung - 11.11.2004 (1)

Zum Thema escan erstellt - Hier das Ergebnis - Danke, myrtille - escan erstellt - Hier das Ergebnis...
Archiv
Du betrachtest: escan erstellt - Hier das Ergebnis auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.