| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
06.08.2008, 22:30
| #1 |
 |  Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. hallo, ich habe mir leider ebenfalls diesen plagegeist eingefangen, wie er schon mehfach beschrieben wurde (VIRUS ALERT! neben der uhr, pop-ups taskmanager und regedit deaktiviert, startmenü fehlt, usw eingefangen). folgendes habe ich schon gemacht: -mit clearprog aufgeräumt -mit spybot gescannt, und was gefunden wurde entfernt. Code:
ATTFilter Smitfraud-C.gp: [SBI $901C9C72] Verknüpfung (Datei, nothing done)
C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url
Smitfraud-C.gp: [SBI $A66DB21C] Verknüpfung (Datei, nothing done)
C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url
Smitfraud-C.gp: [SBI $472076AC] Verknüpfung (Datei, nothing done)
C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url
Smitfraud-C.gp: [SBI $D1117B94] Verknüpfung (Datei, nothing done)
C:\Dokumente und Einstellungen\***\Desktop\Spyware&Malware Protection.url
Smitfraud-C.gp: [SBI $C4C37DA6] Verknüpfung (Datei, nothing done)
C:\Dokumente und Einstellungen\***\Desktop\Error Cleaner.url
Microsoft.Windows.Explorer: [SBI $4272AA01] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders
Microsoft.Windows.System: [SBI $8E2F7540] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCpl
Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start
Microsoft.Windows.System: [SBI $38594624] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms
NNC.MGRS: [SBI $D7CE2F4E] IE Startseite (Registrierungsdatenbank-Änderung, nothing done)
HKEY_USERSS-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Internet Explorer\Main\Start Page=about:blank
Zlob.Downloader.rid: [SBI $A36DC7FF] Bibliothek (Datei, nothing done)
C:\WINDOWS\bgrqfetx.dll
Zlob.Downloader.vcd: [SBI $3A7819FB] Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo
Zlob.Downloader.bs: [SBI $0D9D15D5] Bibliothek (Datei, nothing done)
C:\WINDOWS\xokvrpwg.dll
Zlob.Downloader.vcd: [SBI $E018B59A] Bibliothek (Datei, nothing done)
C:\WINDOWS\tfnslopk.dll
--- Spybot - Search & Destroy version: 1.5.2 (build: 20080128) ---
2008-01-28 blindman.exe (1.0.0.7)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-01-28 SDMain.exe (1.0.0.5)
2008-01-28 SDUpdate.exe (1.0.8.8)
2008-01-28 SDWinSec.exe (1.0.0.11)
2008-01-28 SpybotSD.exe (1.5.2.20)
2008-01-28 TeaTimer.exe (1.5.2.16)
2006-09-08 unins000.exe (51.41.0.0)
2008-04-07 unins001.exe (51.49.0.0)
2008-01-28 Update.exe (1.4.0.6)
2008-01-28 advcheck.dll (1.5.4.5)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2007-11-17 DelZip179.dll (1.79.7.4)
2008-01-28 SDFiles.dll (1.5.1.19)
2008-01-28 SDHelper.dll (1.5.0.11)
2008-01-28 Tools.dll (2.1.3.3)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2008-06-17 Includes\Adware.sbi (*)
2008-06-18 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-06-03 Includes\Dialer.sbi (*)
2008-06-24 Includes\DialerC.sbi (*)
2008-06-03 Includes\HeavyDuty.sbi (*)
2008-06-16 Includes\Hijackers.sbi (*)
2008-06-17 Includes\HijackersC.sbi (*)
2008-06-25 Includes\Keyloggers.sbi (*)
2008-06-24 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-06-24 Includes\Malware.sbi (*)
2008-06-24 Includes\MalwareC.sbi (*)
2008-06-17 Includes\PUPS.sbi (*)
2008-06-24 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-10 Includes\Security.sbi (*)
2008-06-18 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-06-17 Includes\Spyware.sbi (*)
2008-06-17 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-06-24 Includes\Trojans.sbi (*)
2008-06-25 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
Code:
ATTFilter Logfile of HijackThis v1.99.1 Scan saved at 16:08: VIRUS ALERT!, on 05.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\UPHClean\uphclean.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\Programme\Mozilla Firefox_2.0_RC1\Mozilla Firefox\firefox.exe C:\WINDOWS\explorer.exe C:\Programme\hijackthis_198\HJT1991.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O15 - Trusted Zone: h**p://*.aolcdn.com O15 - Trusted Zone: h**p://*.shoutcast.com O15 - Trusted Zone: h**p://*.winamp.com O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O21 - SSODL: tfnslopk - {42484978-AB82-4FD8-9113-1C8016D942A6} - C:\WINDOWS\tfnslopk.dll O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing) O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 O21 - SSODL: tfnslopk - {42484978-AB82-4FD8-9113-1C8016D942A6} - C:\WINDOWS\tfnslopk.dll -ich habe dann über regedit (ging dann schonmal wieder) den taskmanager und die ie-stasrtseite auf about:blank gesetzt anm: ich surfe aber immer über firefox. -das startmenü habe ich mir über taskleiste-eigenschaften wieder zurechtgebaut. -ich habe mit kaspersky 7 schonmal gescannt und was gefunden wurde entfernt Code:
ATTFilter Arbeitsplatz untersuchen : abgeschlossen
----------------------------------------
Untersucht: 643950
Gefunden: 3
Nicht bearbeitet: 0
Start: 05.08.2008 17:35: VIRUS ALERT!
Dauer: 17:53:35
Ende: 06.08.2008 11:29: VIRUS ALERT!
Gefunden
--------
Status Objekt
------ ------
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd Datei: C:\*ABGEKÜRZT*\4-SmitfraudFix\SmitfraudFix.zip/SmitfraudFix/swsc.exe//UPX
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd Datei: C:\*ABGEKÜRZT*\4-SmitfraudFix\SmitfraudFix\swsc.exe//UPX
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd Datei: C:\WINDOWS\system32\swsc.exe//UPX
dann habe ich CCleaner aktualisiert, sowie hijackthis . jetzt lass ich mal CCleaner laufen, und HijackThis in der neuen version. dann poste ich das ergebnis. anm: ich halte mein system möglichst up-to-date, es werden alle windows-updates installiert (ausser sp3 - habe da von einigen problemen gehört und ich mich voher schlau machen wollte), ich habe auch unnötige dienst weitegehends abgeschaltet - hatte diensteabschalten schon früher einmal runtergeladen. ich habe auch schonmal secuniaPSI und combofix runtergeladen - aber noch nicht gestartet - ich wolllte das lieber nicht auf eigeninitative machen - bzw mich von einem fachmann leiten lassen. also ich wäre sehr dankbar, wenn sich einer meiner annehmen würde. vielen dank im vorraus. |
|
06.08.2008, 23:47
| #2 |
| |  Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. huch...jetzt hab ich das thema hoffentlich nicht im falschen forum erstellt?
__________________wenn das besser in das forum Hijacker / HiJackThis Logs posten einstellen sollte, dann bitte ich um "administratives verschieben" - danke. so, ich habe nun erst CCleaner nach anleitung reinigen lassen und dann HijackThis in der letzten version laufen lassen. ich bin etwas geschockt, dass sich wieder so viele einträge eingenistet haben. eigentlich war ich immer ganz zufrieden, da ich immer recht wenige einträge hatte (siehe log oben) Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:19: VIRUS ALERT!, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\VMware\VMware Player\hqtray.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\Programme\HiJackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O15 - Trusted Zone: h**p://*.aolcdn.com O15 - Trusted Zone: h**p://*.shoutcast.com O15 - Trusted Zone: h**p://*.winamp.com O21 - SSODL: tfnslopk - {5D1E73FF-D7FB-4C9A-B737-5D38BA0719FB} - (no file) O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing) O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing) O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - (no file) -- End of file - 5160 bytes Code:
ATTFilter O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'Default user')
Code:
ATTFilter O21 - SSODL: tfnslopk - {5D1E73FF-D7FB-4C9A-B737-5D38BA0719FB} - (no file)
O24 - Desktop Component 0: (no name) - (no file)
ich warte jetzt aber ersteinmal auf expertenantworten... vielen dank vorab. viele grüße. ups, ich wollte vor einstellung des textes eine sicherung auf meinem pc speichern (in einer text-datei) und auf einmal kann ich keinen explorer mehr öffnen - also keine taskleiste, kein startmenü, kann nur noch den taskmanager aufrufen, aber mein geöffneter ordner ist weg, sowie das geöffnete HijackThis sowie dessen log... - seltsam (schei...)... |
|
06.08.2008, 23:54
| #3 |
  | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. Hallo,
__________________suche bitte die csdata32.exe per Suchfunktion (Rechtsklick auf Start => Suchen.../auch versteckte Dateien durchsuchen!) damit du weißt, wo sich die Datei befindet. Wenn du sie gefunden hast, lade sie bitte bei Virustotal hoch und poste das Analysenergebnis. Danach folge bitte der Anleitung von MalwareBytes, Link in meiner Signatur. mfg
__________________ |
|
07.08.2008, 00:40
| #4 |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. hallo, danke schonmal für deine schnelle antwort. leider kann ich die datei nicht finden. ich habe, wie in einer anleitung mal beschrieben wurde, die suchoptionen -systemordner durchsuchen -versteckte elemente durchsuchen -unterordner durchsuchen ausgewählt. allerdings wird wenn ich wie beschrieben mit start - suche - "suchen in" die partition c: und d: nicht mehr angezeigt - nur noch die partition e: ich habe dann über explorer c: die suche gestartet, das gleiche ebenfalls mit d: - das sollte doch dann auch funktionieren, oder? die datei ist aber nicht zu finden... ich habe mal im netzt nachgeschaut - demnach sollte sie in c:\windows\system32 liegen - also will ich nachschauen und öffne c:\windows - promt bekomme ich von kav7 die meldung: trojanisches programm trojan.win32.vapsup.jwx datei: c:\windows\eovn.exe das scheint also ein übeltäter zu sein, oder? |
|
07.08.2008, 00:43
| #5 |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. Dann lade die c:\windows\eovn.exe bei Virustotal hoch und dann danach MalwareBytes (Antivirenwächter derweil deaktivieren!). Oh gott, bei Dir ändern sich Warnmeldungen über "Trojaner". 
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
07.08.2008, 01:05
| #6 |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. virustotal wirft folgene meldungen raus: Code:
ATTFilter Datei eovn.exe empfangen 2008.08.07 01:48:53 (CET)
Ergebnis: 14/36 (38.89%)
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.8.7.0 2008.08.06 -
AntiVir 7.8.1.19 2008.08.06 ADSPY/AdSpy.Gen
Authentium 5.1.0.4 2008.08.07 -
Avast 4.8.1195.0 2008.08.06 -
AVG 8.0.0.156 2008.08.06 Generic3.KRE
BitDefender 7.2 2008.08.06 Trojan.Zlob.CRS
CAT-QuickHeal 9.50 2008.08.06 -
ClamAV 0.93.1 2008.08.06 -
DrWeb 4.44.0.09170 2008.08.06 -
eSafe 7.0.17.0 2008.08.06 -
eTrust-Vet 31.6.6016 2008.08.06 Win32/Pripecs!generic
Ewido 4.0 2008.08.06 -
F-Prot 4.4.4.56 2008.08.06 -
F-Secure 7.60.13501.0 2008.08.06 -
Fortinet 3.14.0.0 2008.08.06 -
GData 2.0.7306.1023 2008.08.06 Trojan.Win32.Vapsup.jwx
Ikarus T3.1.1.34.0 2008.08.06 Virus.Win32.Vapsup.GV
K7AntiVirus 7.10.405 2008.08.06 -
Kaspersky 7.0.0.125 2008.08.07 Trojan.Win32.Vapsup.jwx
McAfee 5355 2008.08.06 -
Microsoft 1.3807 2008.08.07 Trojan:Win32/Zlob.gen!Q
NOD32v2 3333 2008.08.06 -
Norman 5.80.02 2008.08.06 W32/DLoader.ITNI
Panda 9.0.0.4 2008.08.06 -
PCTools 4.4.2.0 2008.08.06 -
Prevx1 V2 2008.08.07 Malicious Software
Rising 20.56.22.00 2008.08.06 -
Sophos 4.31.0 2008.08.07 -
Sunbelt 3.1.1537.1 2008.08.06 Adware.NetAdware.Gen
Symantec 10 2008.08.07 Downloader.Zlob!gen.3
TheHacker 6.2.96.393 2008.08.04 -
TrendMicro 8.700.0.1004 2008.08.06 -
VBA32 3.12.8.2 2008.08.06 suspected of Downloader.Zlob.8 (paranoid heuristics)
ViRobot 2008.8.6.1326 2008.08.06 -
VirusBuster 4.5.11.0 2008.08.06 -
Webwasher-Gateway 6.6.2 2008.08.06 Ad-Spyware.AdSpy.Gen
weitere Informationen
File size: 139264 bytes
MD5...: 901b10d711c09477d173a326ba71bbc8
SHA1..: 1116e2ab10d12219c998b62e29346dd8bcf70bbe
SHA256: 0e560f5760a1a1e6df66f6f27a6465be2a197044af7d4984f80788ff05e5611a
SHA512: 2aeb8a4480e6873ebfd2f53ce76058d59ba89f7c266038eace160bb448783b74
ef95f57ad4246525cb51ad76f5c23bd19049f06aa6cd2a651d1a0b231bc060ee
PEiD..: -
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0x40bea8
timedatestamp.....: 0x4897c962 (Tue Aug 05 03:30:42 2008)
machinetype.......: 0x14c (I386)
frage: was meinst du mit "oh gott, bei dir ändern sich warnmeldungen über "Trojaner"" habe ich was falsch gemacht? danke nochmals für die hilfe, und ich lass jetzt mal Malwarebytes arbeiten... |
|
07.08.2008, 01:08
| #7 | |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.Zitat:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
07.08.2008, 11:29
| #8 |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. soooo, nun habe ich schonmal was abgearbeitet: malwarebytes hat was gefunden, was ich dann habe von Malwarebytes löschen lassen: Code:
ATTFilter Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1030
Windows 5.1.2600 Service Pack 2
07:39:15 07.08.2008
mbam-log-8-7-2008 (07-39-15).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 182526
Laufzeit: 1 hour(s), 48 minute(s), 28 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 2
Infizierte Dateien: 5
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SecuriSoft SARL (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\tfnslopk (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55372-OEM-0011903-00126) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.
Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuriSoft SARL (Rogue.WinSpywareProtect) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuriSoft SARL\WinSpywareProtect (Rogue.WinSpywareProtect) -> Quarantined and deleted successfully.
Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuriSoft SARL\WinSpywareProtect\wspwprtct.exe (Rogue.WSPwprtct) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP342\A0114126.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\eovn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\lnvegaow.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
ich habe dann nochmal malwarebyte laufen lassen, und er hat dann auch nichts mehr gefunden. hijackthis hat dann folgendes rausgeschmissen: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:57:25, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\WINDOWS\system32\vmnat.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\VMware\VMware Player\hqtray.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\HiJackThis\HijackThis.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\Mozilla Firefox\firefox.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O15 - Trusted Zone: h**p://*.aolcdn.com O15 - Trusted Zone: h**p://*.shoutcast.com O15 - Trusted Zone: h**p://*.winamp.com O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing) O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing) O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - (no file) -- End of file - 5115 bytes Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:13:46, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\bgsvcgen.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe C:\Programme\VMware\VMware Player\vmware-authd.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\vmnetdhcp.exe C:\Programme\HiJackThis\HijackThis.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [update run dos] logon.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O15 - Trusted Zone: h**p://*.aolcdn.com O15 - Trusted Zone: h**p://*.shoutcast.com O15 - Trusted Zone: h**p://*.winamp.com O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing) O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing) O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing) O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - (no file) -- End of file - 4234 bytes Code:
ATTFilter O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [update run dos] logon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'Default user')
ich habe dann noch über msconfig ein paar sachen abgeschaltet, und komme nun auf folgendes logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:55:46, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\HiJackThis\HijackThis.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [update run dos] logon.exe (User 'Default user') O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'Default user') O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O15 - Trusted Zone: h**p://*.aolcdn.com O15 - Trusted Zone: h**p://*.shoutcast.com O15 - Trusted Zone: h**p://*.winamp.com O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - (no file) -- End of file - 2773 bytes vielen dank vorab wiedermal. p.s: der eintrag O24 ist auch komisch, was sollte ich damit machen? |
|
07.08.2008, 12:58
| #9 | ||
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. Es sieht schlecht aus, Zitat:
Zitat:
Es wäre wichtig, diese Dateien zu finden. Wenn sie da sind, ist der Fall klar: Neuaufsetzen
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
07.08.2008, 14:05
| #10 |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. hallo, ohh, das hört sich ja schlecht an. ich hatte die 2 teile mal probeweise mit HijackThis gefixt. nun habe ich deine antwort erst nachher gelesen. habe nach den dateien gesucht, aber sie nicht gefunden. für logon als suche finde ich nur winlogon unter c:\windows\$ntservicepackuninstall$ c:\windows\system 32 c:\windows\servicepackfiles\i386 c:\windows\system 32\dllcache sowie chglogon unter c:\windows\system 32\dllcache für svcshost.exe finde ich garnichts. wenn ich jetzt HijackThis laufen lasse, kommen auch keine neuen einträge drin vor Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:58:24, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\Dit.exe C:\WINDOWS\system32\PRISMSTA.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\DitExp.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe C:\Programme\FolderSize\FolderSizeSvc.exe C:\Programme\FRITZ!DSL\IGDCTRL.EXE C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\tcpsvcs.exe C:\Programme\UPHClean\uphclean.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\HiJackThis\HijackThis.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll O15 - Trusted Zone: http://*.aolcdn.com O15 - Trusted Zone: http://*.shoutcast.com O15 - Trusted Zone: http://*.winamp.com O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe O24 - Desktop Component 0: (no name) - (no file) -- End of file - 2518 bytes O24 - Desktop Component 0: (no name) - (no file) oder ist es mit dem fixen der beiden o.g. auffälligen einträge noch nicht getan? könnte man nicht noch etwas mit combofix reissen? neu aufsetzten wäre für mich im moment nicht möglich, da ich leider im moment "gesundheitliche verpflichtungen" habe. danke weiterhin für die hilfe. |
|
07.08.2008, 14:15
| #11 | |||
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. Ok, dann arbeite die folgenden Schritte hier ab. Wenn sowas drauf ist, finden wir es auch: Blacklight scannen lassen * Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link. * Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen. * Klick "I accept the agreement", "next", "Scan". * Wenn der Scan fertig ist beende Blacklight mit "Close". * Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern. Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren. Zu deinen Fragen: Zitat:
Zitat:
Aber es ist auch nicht notwendig. Zitat:
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
08.08.2008, 18:02
| #12 |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. so, nachdem ich nach heftigen gewitter den pc vom netzt getrennt hatte, kann ich jetzt wieder weiterarbeiten. ich habe also deine anweisungen befolgt. leider??? ist nichts gefunden worden. hier die logs: fsbl.exe Code:
ATTFilter 08/07/08 15:43:38 [Info]: BlackLight Engine 1.0.70 initialized
08/07/08 15:43:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/08 15:43:38 [Note]: 7019 4
08/07/08 15:43:38 [Note]: 7005 0
08/07/08 15:44:31 [Note]: 7006 0
08/07/08 15:44:32 [Note]: 7011 328
08/07/08 15:44:32 [Note]: 7035 0
08/07/08 15:44:32 [Note]: 7026 0
08/07/08 15:44:32 [Note]: 7026 0
08/07/08 15:44:37 [Note]: FSRAW library version 1.7.1024
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 17:24:33 [Note]: 7007 0
Code:
ATTFilter Search Navipromo version 3.6.1 began on 07.08.2008 at 17:28:19,28
!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "* *"
Updated on 19.07.2008 at 20h00 by IL-MAFIOSO
Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS
Search done in normal mode
*** Searching for installed Software ***
*** Search folders in "C:\WINDOWS" ***
*** Search folders in "C:\Programme" ***
*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***
*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\* *\anwend~1" ***
*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\Besitzer\anwend~1" ***
*** Search folders in "C:\DOKUME~1\Gast\anwend~1" ***
*** Search folders in "C:\DOKUME~1\Internet\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\* *\lokale~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\Gast\lokale~1\anwend~1" ***
*** Search folders in "C:\DOKUME~1\Internet\lokale~1\anwend~1" ***
*** Search folders in "C:\Dokumente und Einstellungen\* *\startm~1\progra~1" ***
*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" ***
*** Search folders in "C:\DOKUME~1\Gast\startm~1\progra~1" ***
*** Search folders in "C:\DOKUME~1\Internet\startm~1\progra~1" ***
*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net
No Navipromo file found
*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!
* Scan in "C:\WINDOWS\system32" *
* Scan in "C:\Dokumente und Einstellungen\* *\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\Gast\lokale~1\anwend~1" *
* Scan in "C:\DOKUME~1\Internet\lokale~1\anwend~1" *
*** Search files ***
*** Search specific Registry keys ***
*** Complementary Search ***
(Search specific files)
1)Search new Instant Access files :
2)Heuristic Search :
* In "C:\WINDOWS\system32" :
* In "C:\Dokumente und Einstellungen\* *\lokale~1\anwend~1" :
* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" :
* In "C:\DOKUME~1\Gast\lokale~1\anwend~1" :
* In "C:\DOKUME~1\Internet\lokale~1\anwend~1" :
3)Certificates Search :
Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !
4)Search known files :
*** Search completed on 07.08.2008 at 17:38:56,23 ***
h h ho (zitter) hoffentlich n n ni nicht... p.s.: O24 - Desktop Component 0: (no name) - (no file) kann ich mit HijackThis nicht fixen. Geändert von JuuuHuuu (08.08.2008 um 18:07 Uhr) |
|
08.08.2008, 19:06
| #13 |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. Sieht gut aus, versuch den O24-Eintrag im Safe Mode zu fixen.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
09.08.2008, 17:16
| #14 |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. hallo, ich bekomme das ding auch im abgesichertem modus nicht gefixt... |
|
09.08.2008, 17:20
| #15 |
| | Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. Naja egal, tragisch ist das nicht. Nur ein unnötiger (unwirksamer) Eintrag. Wenn er dich nicht stört, dann belassen wir das ganze.
__________________ mfg, Patrick Technische Kompromittierung => Tatort Internet Keine Windows-CD? Selbst brennen. |
|
| Themen zu Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. |
| 1.exe, alert, combofix, desktop, dsl, einstellungen, error, firefox, internet, internet explorer, kaspersky, malware, mozilla, mozilla firefox, pop-ups, programme, regedit deaktiviert, rundll, rundll32, software, spyware, taskmanager, trojanisches programm, virus, virus alert, virus alert!, windows xp, wmid |
Linear-Darstellung
