Trojanerfund(e)

Buergy · 17.05.2008, 21:16

Guten Abend,

in den letzten Tagen ist mir aufgefallen, dass sich mehrmals täglich selbstständig irgendwelche Firefox-Tabs öffnen in denen irgendwelche Werbung geöffnet wird (genaueres kann ich nicht sagen, da ich es relativ schnell wieder weggeklickt habe). Habe auch keine "Gesetzmäßigkeit feststellen können, wann sie sich öffnen.

Habe heute Antivir durchlaufen lassen, und es wurden auch mehre Sachen gefunden:

Code:

ATTFilter

Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080884.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.3648.1' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080883.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080887.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PrivacySet.A' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080886.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080888.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PrivacySet.A' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081730.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081729.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0080889.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.3648.1' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081755.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081737.sys'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0081761.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0082317.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0082325.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\System Volume Information\_restore{6251906B-05A9-4E2B-B24D-CB64A0915514}\RP512\A0082340.exe'
enthielt einen Virus oder unerwünschtes Programm 'DR/Monder.4255232' [dropper].
Die Datei 'C:\WINDOWS\system32\awyymynp.exe'
enthielt einen Virus oder unerwünschtes Programm 'TR/PrivacySet.A' [trojan].
Die Datei 'C:\WINDOWS\system32\crypts.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Downloader.Gen' [trojan].
Die Datei 'C:\WINDOWS\system32\ginqjhth.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Agent.3648.1' [trojan].
Die Datei 'C:\WINDOWS\system32\rqrleuml.dll.ren'
enthielt einen Virus oder unerwünschtes Programm 'TR/Vundo.Gen' [trojan].
Die Datei 'C:\WINDOWS\system32\WinNt32.dll'
enthielt einen Virus oder unerwünschtes Programm 'TR/Crypt.XPACK.Gen' [trojan].
Die Datei 'C:\WINDOWS\Temp\CEE3.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.BR.20' [trojan].
Die Datei 'C:\WINDOWS\Temp\D783.tmp'
enthielt einen Virus oder unerwünschtes Programm 'TR/Patched.BR.20' [trojan].

HiJackThis habe ich danach auch laufen lassen:

Code:

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:03:57, on 17/05/2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Program Files\Spyware Terminator\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe
C:\Program Files\DAEMON Tools\daemon.exe
C:\Program Files\Winamp\winampa.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Mozilla Firefox\firefox.exe
c:\program files\avira\antivir personaledition classic\avcenter.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\Program Files\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Program Files\Miranda IM\miranda32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\Documents and Settings\***\Desktop\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program Files\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [WinampAgent] C:\Program Files\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [dvd43] C:\Program Files\dvd43\dvd43_tray.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program Files\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [EA Core] "C:\Program Files\Electronic Arts\EA Link\Core.exe" -silent
O4 - HKCU\..\Run: [Vidalia] "C:\Program Files\Vidalia Bundle\Vidalia\vidalia.exe"
O4 - HKCU\..\Run: [fli4l] "C:\Documents and Settings\***\Desktop\Imonc2_0_7f\Imonc.exe" /s:10.0.0.1 
O4 - HKCU\..\Run: [Uniblue RegistryBooster 2] C:\Program Files\Uniblue\RegistryBooster 2\RegistryBooster.exe /S
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Program Files\OpenOffice.org 2.2\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Download All by FlashGet - C:\Program Files\FlashGet\jc_all.htm
O8 - Extra context menu item: Download using FlashGet - C:\Program Files\FlashGet\jc_link.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {759AA6A5-76B2-43E2-B940-B0C336C69E01} - h**p://202.106.184.51/download/VodoneActivex.cab
O16 - DPF: {bdbde413-7b1c-4c68-a8ff-c5b2b4090876} (F-Secure Online Scanner 3.3) - h**p://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{AEF97322-54F2-4EEE-8F20-4B2ECDA4E61B}: NameServer = 10.0.0.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (antivirscheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (antivirservice) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\Program Files\Spyware Terminator\sp_rsser.exe

--
End of file - 7411 bytes

Ich hoffe, dass ich jetzt alles richtig zusammengetragen habe

Vielen Dank und schöne Grüße,
Buergy

Trojanerfund(e)

Log-Analyse und Auswertung: Trojanerfund(e)

Trojanerfund(e)

Ähnliche Themen: Trojanerfund(e)