|
Plagegeister aller Art und deren Bekämpfung: Trojan horse Generic10.ZZA mit e-scanWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
09.07.2008, 12:38 | #1 |
| Trojan horse Generic10.ZZA mit e-scan Hallo zusammen, bekomme seit 2-3 Tagen von meim AVG 8.0 aus dem leerlauf heraus ca. alle 1 st. eine infected Meldung zwecks trojan horse generic10.ZZA aus dem "system_restore"..... Bevor ich allerdings mit dem Hammer draufschlag, hab ich mal e-scan gemacht: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2008.03.07 Microsoft Windows XP [Version 5.1.2600] Bootmodus: Normal eScan Version: 9.9.4 Sprache: German C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\MWAV.LOG ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ Datei C:\Tools\ipscan.exe//UPX markiert als "not-a-virus:NetTool.Win32.Portscan.c". Keine Maßnahme ergriffen. Datei D:\Ablage\CryptLoad_1.1.2.rar/router\FRITZ!Box\nc.exe markiert als "not-a-virus:RemoteAdmin.Win32.NetCat". Keine Maßnahme ergriffen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ ~~~~~~~~~~~ ~~~~ Spyware (Vorsicht: Oft Fehlalarm!) ~~~~~~~~~~~ MicroWorld AntiVirus und Antispyware Toolkit. Antiviren- und Antispywaredatenbanken werden heruntergeladen... MicroWorld AntiVirus und Antispyware Toolkit. Scannen Spyware: Aktiviert ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\spydb.avs, Size: 836341]. Indexed Spyware Databases Successfully Created... System found infected with combo Spyware/Adware (HKEY_CLASSES_ROOT\clsid\{967b2d40-8b7d-4127-9049-61ea0c2c6dce})! Action taken: Keine Maßnahme ergriffen. System found infected with regsort Corrupted Adware/Spyware (hklm\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen. ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ laufende Prozesse - commandline ~~~~~~~~~~~~~~~~~~~~~~ System Idle Process - System - smss.exe - \SystemRoot\System32\smss.exe csrss.exe - winlogon.exe - winlogon.exe services.exe - C:\WINXP\system32\services.exe lsass.exe - C:\WINXP\system32\lsass.exe svchost.exe - C:\WINXP\system32\svchost -k DcomLaunch svchost.exe - svchost.exe - C:\WINXP\system32\svchost.exe -k netsvcs svchost.exe - svchost.exe - explorer.exe - C:\WINXP\Explorer.EXE mexe.com - "C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\mexe.com" ScanningProcess.exe - ctfmon.exe - ctfmon.exe cmd.exe - cmd /c ""C:\Dokumente und Einstellungen\Administrator\Desktop\find.bat" " cscript.exe - cscript C:\escan\prclst.vbs //nologo wmiprvse.exe - ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP030F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP070F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP0B0F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP071F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP030F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP070F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP0B0F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\Desktop\OPENOF~1.4(D\OP071F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\ADMINI~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OOO_24~1.EXE ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OPENOF~1.4(D\OP030F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OPENOF~1.4(D\OP070F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OPENOF~1.4(D\OP0B0F~1.CAB ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\Desktop\OPENOF~1.4(D\OP071F~1.CAB Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\42g0bakv.exe is Not Scanned Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\59ytryo2.rar: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\59ytryo2.rar Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\5bf9ons5.rar: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\5bf9ons5.rar Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\7668pyu0.rar: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\7668pyu0.rar Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\kvc875xy.rar: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\kvc875xy.rar Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\ovd0nuxp.rar: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\ovd0nuxp.rar Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\qbw6k6rl.rar: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\qbw6k6rl.rar Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\rush7btv.rar: Scanning Failure!!! ERROR!!! ScanFile fails for C:\DOKUME~1\Alex\LOKALE~1\Temp\rush7btv.rar Result: ERROR!!! File C:\Dokumente und Einstellungen\Alex\Lokale Einstellungen\Temp\sogvnykr.exe is Not Scanned ERROR!!! ScanFile fails for C:\DOKUME~1\ALLUSE~1\ANWEND~1\MICROS~1\DRWATS~1\user.dmp ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\LOCALS~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\UsrClass.dat ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\LOKALE~1\ANWEND~1\MICROS~1\Windows\USRCLA~1.LOG ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER.DAT ERROR!!! ScanFile fails for C:\DOKUME~1\NETWOR~1\NTUSER~1.LOG ERROR!!! ScanFile fails for C:\pagefile.sys ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_04\lib\rt.jar ERROR!!! ScanFile fails for C:\Programme\Java\jre1.6.0_05\lib\rt.jar ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\images.zip ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\IMAGES~1.ZIP ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\IMAGES~2.ZIP ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\IMAGES~3.ZIP ERROR!!! ScanFile fails for C:\PROGRA~1\OPENOF~1.4\share\config\IMAGES~4.ZIP ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP19\A0002461.exe ERROR!!! ScanFile fails for C:\SYSTEM~1\_RESTO~1\RP19\A0002462.exe ERROR!!! ScanFile fails for C:\WINXP\DRIVER~1\i386\driver.cab ERROR!!! ScanFile fails for C:\WINXP\system32\CatRoot2\edb.log ERROR!!! ScanFile fails for C:\WINXP\system32\CatRoot2\tmp.edb ERROR!!! ScanFile fails for C:\WINXP\system32\config\default ERROR!!! ScanFile fails for C:\WINXP\system32\config\default.LOG ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM ERROR!!! ScanFile fails for C:\WINXP\system32\config\SAM.LOG ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY ERROR!!! ScanFile fails for C:\WINXP\system32\config\SECURITY.LOG ERROR!!! ScanFile fails for C:\WINXP\system32\config\software ERROR!!! ScanFile fails for C:\WINXP\system32\config\software.LOG ERROR!!! ScanFile fails for C:\WINXP\system32\config\system ERROR!!! ScanFile fails for C:\WINXP\system32\config\system.LOG ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: C:\WINXP\System32\drivers\etc\hosts: C:\WINXP\System32\drivers\etc\hosts:127.0.0.1 localhost ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Zahl der gescannten Objekte: 105369 Zahl der kritischen Objekte: 4 Zahl der desinfizierten Objekte: 0 Zahl der umbenannten Dateien: 0 Zahl der gelöschten Objekte: 0 Zahl der Fehler: 15 Zeit verstrichen: 01:15:38 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Speicherüberprüfung: Aktiviert Registrierungsdatenbank-Überprüfung: Aktiviert Überprüfung des Startordners: Aktiviert Überprüfung des Systemordners: Aktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Laufwerke: Deaktiviert Überprüfung aller Laufwerke:Aktiviert Überprüfung der Ordner: Deaktiviert Batchstart: 13:14:49,84 Batchende: 13:14:54,10 |
09.07.2008, 13:08 | #2 |
| Trojan horse Generic10.ZZA mit e-scan Hallo alexisonchaos
__________________Deaktiviere doch mal die Sytemwiederherstellung. Mache danach einen Scan mit CCleaner nach Anleitung, vor allen die Fehlersuche in der Registry mehrmals, bis nichts mehr gefunden wird. Schalte den Rechner aus. Nach 2 Minuten wieder einschalten und die Sytemwiederherstellung aktivieren. Im Anschluss noch ein HijackThis Log nach Anleitung fertigen. Nicht vergessen, vor dem Einstellen aktive Links und Eigennamen editieren als http:// durch h**p:// Geändert von blow-in (09.07.2008 um 13:21 Uhr) |
09.07.2008, 15:31 | #3 |
| Trojan horse Generic10.ZZA mit e-scan jo,
__________________bis jetzt (2 Stunden) kein "alert"...... hijack scheint auch o.k.... kanns sein, dass des O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) war? --------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 16:27:15, on 09.07.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20696) Running processes: C:\WINXP\System32\smss.exe C:\WINXP\system32\winlogon.exe C:\WINXP\system32\services.exe C:\WINXP\system32\lsass.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\svchost.exe C:\WINXP\System32\svchost.exe C:\WINXP\system32\Ati2evxx.exe C:\WINXP\system32\spoolsv.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\WINXP\system32\svchost.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\Tools\hijackthis_199\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://mwti.net/process/processlist.asp?process=svchost O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [JMB36X Configure] C:\WINXP\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Launch PC Probe II] "C:\Programme\ASUS\PC Probe II\Probe2.exe" 1 O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent O11 - Options group: [INTERNATIONAL] International* O11 - Options group: [TABS] Tabbed Browsing O17 - HKLM\System\CCS\Services\Tcpip\..\{E66DDF04-15E4-409C-B08A-33AD793B6FEB}: NameServer = 213.191.74.11 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINXP\SYSTEM32\WgaLogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINXP\system32\wpdshserviceobj.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINXP\System32\TuneUpDefragService.exe |
10.07.2008, 09:25 | #4 |
| Trojan horse Generic10.ZZA mit e-scan Hallo alexisonchaos Du kannst noch einen Scan mit der MBR.EXE http://www.gmer.net zur Sicherheit machen. Das Log dazu ist dann im selben Verzeichnis wie die mbr.exe. Diese Zeile O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing) kannst du ja noch mit HJT fixen. Verwende dazu aber das neue HijackThis von dieser Seite. Schau dann mal in den System32 Ordner, ob dort noch die oben genannte Datei vorhanden ist. Kannst du alle Dateien sehen, also auch versteckte und Systemdateien? |
Themen zu Trojan horse Generic10.ZZA mit e-scan |
1.exe, administrator, adware, antispyware, antivirus, avg, banke, banken, c.exe, dateisystem, desktop, drivers, einstellungen, explorer, fehlalarm, fehler, generic, infected, logon.exe, maßnahme, nc.exe, prozesse, registrierungsdatenbank, security, software, spyware, system, system32, temp, trojan, trojan horse, trojan horse generic, windows, windows xp, winxp |