Hallo,

Seit heute als ich aufen Desktop war schlug mein Kaspersky Antiviren an und sagte mir irgendetwas mit einem Link und Trojan Downloader JS.Agent.CIW wie oben beschrieben.
Als ich mein Rechner scannte fund Kaspersky nichs (schnelles Scannen)

Code: Alles auswählenAufklappen

ATTFilter

Hier mal ein Hijack This Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:37:56, on 28.07.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
I:\WINDOWS\System32\smss.exe
I:\WINDOWS\system32\csrss.exe
I:\WINDOWS\system32\winlogon.exe
I:\WINDOWS\system32\services.exe
I:\WINDOWS\system32\lsass.exe
I:\WINDOWS\System32\Ati2evxx.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\system32\svchost.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\Ati2evxx.exe
I:\WINDOWS\system32\spoolsv.exe
I:\Programme\Java\jre1.6.0_07\bin\jusched.exe
I:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
I:\WINDOWS\system32\ctfmon.exe
I:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
I:\WINDOWS\System32\svchost.exe
I:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
I:\WINDOWS\System32\svchost.exe
I:\WINDOWS\system32\wdfmgr.exe
I:\WINDOWS\explorer.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Programme\eMule\emule.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Programme\Internet Explorer\iexplore.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h*tp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h*tp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - I:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - I:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - I:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - I:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "I:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [AVP] "I:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "I:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] I:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] I:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] I:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Secunia PSI (RC3).lnk = I:\Programme\Secunia\PSI (RC3)\psi.exe
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - I:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - I:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - I:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - I:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O20 - AppInit_DLLs: I:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,I:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,I:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - I:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - I:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - I:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Google Updater Service (gusvc) - Google - I:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: NBService - Nero AG - I:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - I:\WINDOWS\System32\TuneUpDefragService.exe

--
End of file - 5720 bytes
         

Ich hoffe ma das es nur ein Fehlarlam war weil ich den Virus garnicht kenne.

MFG

Hallo,
Logfile bitte in [code]-Tags posten:

HTML-Code:

[code]TEXT[/code]

Pfadangabe des Trojaners bitte angeben.

mfg

Bei Pfad steht nur :
ht*p://jezl0.com/cgi-bin/update.cgi?t3

Irgendwie komisch

Das Log ist sauber, ist die betroffene Datei noch in der Quarantäne?

Ganz Ehrlich weiß ich es nicht es hat es mir so schnell gemeldet und ist wieder weggegangen die Meldung.
Danach wollt ich es genauer wissen und hab unter Erkannte bedrohungen nachgegkuckt.
Mehr weiß ich leider auch nicht.Da steht nur Gefunden sonst nichts.

Na dann lass es dabei, der Trojaner ist jedenfalls nicht auf dein System gekommen. Wahrscheinlich ist Kaspersky dazwischen gegangen.
Zur Sicherheit kannst du noch das machen:

Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.

• Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
• Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
  Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
• Wähle E für Englisch im Sprachenmenü
• Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
• Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
• Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
• Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.

Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Als ich heute komplett Scan gemacht hab fund Kaspersky 2 Trojanische Pferde in I:/System Volume Imformation/blabla zu viele ziffern/A0010991.exe und A0011125.exe ich hab die nohc nicht gelöscht oder in quarantäne geschoben.

Zitat:

Zitat von EasyMick

Als ich heute komplett Scan gemacht hab fund Kaspersky 2 Trojanische Pferde in I:/System Volume Imformation/blabla zu viele ziffern/A0010991.exe und A0011125.exe ich hab die nohc nicht gelöscht oder in quarantäne geschoben.

Hab mit Kaspersky Löschen gedrückt.
Zudem hat noch Kaspersky 3 Schwachstellen gefunden-
I:/Programme/Java/j2re1.4.2_01/bin/eula.dll (Hohe Gefahr)
I:/Programme/Java/jre1.6.0_05/bin/java.exe (Hohe Gefahr)
I:/Programme/Java/jre1.6.0_06/bin/java.exe

Deaktiviere die Systemwiederherstellung und deinstalliere die drei veraltete Java-Versionen
Danach folge der Anleitung für Malwarebytes, Link in meiner Signatur.

mfg

In software stehen folgende :
Java2 Runtime Environment, SE v1.4.2_01
Java[TM] 6 Update 5
Java[TM] 6 Update 6
Java[TM] 6 Update 7
Welche drei müssen den weg ?
Mit Malwarebytes mach ich gleich sofort.

EDIT: Blöde frage aber ,wie Deaktiviert mann die Systemwiederherstelllung nochmal ?

Zu deinen Fragen:

Zitat:

Java2 Runtime Environment, SE v1.4.2_01
Java[TM] 6 Update 5
Java[TM] 6 Update 6

Das sind die Ältesten, die müssen weg.

Zitat:

Blöde frage aber ,wie Deaktiviert mann die Systemwiederherstelllung nochmal ?

Ganz einfach:
Rechtsklick auf Arbeitsplatz => Eigenschaften => Systemwiederherstellugn => Häkchen bei "Systemwiederherstellung auf allen Laufwerken deaktiveren" setzen

Keine Viren hat MalwareByte gefunden

Code: Alles auswählenAufklappen

ATTFilter

Malwarebytes' Anti-Malware 1.23
Datenbank Version: 1006
Windows 5.1.2600 Service Pack 3

15:08:50 29.07.2008
mbam-log-7-29-2008 (15-08-50).txt

Scan-Methode: Vollständiger Scan (I:\|J:\|K:\|)
Durchsuchte Objekte: 70483
Laufzeit: 13 minute(s), 33 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         

Ich hab noch vergessen was zu erwähnen,
Kaspersky hat auch in Volume dateien gefunden die den Viren ähnelten also mein icon wurde damit kopiert und sozusagen getarnt dabei war die datei passwort geschützt davon hat kaspersky 4 gefunen und ich hab die manuall entfernt als plötzlich später wieder einer auftauchte als ich den entfernt habe ist jetzt alles weg,hab nur ein gefühl das es wieder kommt.

Zitat:

Volume

Du meinst sicherlich System Volume Information, oder?
Wenn ja und du die Systemwiederherstellung deaktiviert hast, ist da auch nichts mehr drin
Dein System ist sauber, ich glaube das grenzt leicht an Paranoia von dir

Jop mein System Volume Information schreibe Volume weils kürzer ist.
Wo ich die Trojaner gelöscht habe und diese seltsamen dateien hatte ich meine Systemwiederherstellung nicht deaktiviert...

Ich tippe da eher auf beschädigte Dateien, MalwareBytes wär sonst angeschlagen und im HijackThis Logfile wären auch schädl. Registry-Einträge zu sehen gewesen.