Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 06.08.2008, 22:30   #1
JuuuHuuu
 
Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Icon17

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



hallo,
ich habe mir leider ebenfalls diesen plagegeist eingefangen, wie er schon mehfach beschrieben wurde (VIRUS ALERT! neben der uhr, pop-ups taskmanager und regedit deaktiviert, startmenü fehlt, usw eingefangen).
folgendes habe ich schon gemacht:
-mit clearprog aufgeräumt

-mit spybot gescannt, und was gefunden wurde entfernt.
Code:
ATTFilter
Smitfraud-C.gp: [SBI $901C9C72]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Favoriten\Error Cleaner.url

Smitfraud-C.gp: [SBI $A66DB21C]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Favoriten\Privacy Protector.url

Smitfraud-C.gp: [SBI $472076AC]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Favoriten\Spyware&Malware Protection.url

Smitfraud-C.gp: [SBI $D1117B94]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Desktop\Spyware&Malware Protection.url

Smitfraud-C.gp: [SBI $C4C37DA6]  Verknüpfung (Datei, nothing done)
  C:\Dokumente und Einstellungen\***\Desktop\Error Cleaner.url

Microsoft.Windows.Explorer: [SBI $4272AA01] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetFolders

Microsoft.Windows.System: [SBI $8E2F7540] Benutzereinstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\System\NoDispCpl

Microsoft.WindowsSecurityCenter_disabled: [SBI $2E20C9A9] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start

Microsoft.Windows.System: [SBI $38594624] Einstellungen (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERS\S-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoStartMenuMorePrograms

NNC.MGRS: [SBI $D7CE2F4E] IE Startseite (Registrierungsdatenbank-Änderung, nothing done)
  HKEY_USERSS-1-5-21-1628635152-967102319-118566906-1008\Software\Microsoft\Internet Explorer\Main\Start Page=about:blank

Zlob.Downloader.rid: [SBI $A36DC7FF]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\bgrqfetx.dll

Zlob.Downloader.vcd: [SBI $3A7819FB] Uninstall-Einstellung (Registrierungsdatenbank-Schlüssel, nothing done)
  HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\WebVideo

Zlob.Downloader.bs: [SBI $0D9D15D5]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\xokvrpwg.dll

Zlob.Downloader.vcd: [SBI $E018B59A]  Bibliothek (Datei, nothing done)
  C:\WINDOWS\tfnslopk.dll


--- Spybot - Search & Destroy version: 1.5.2  (build: 20080128) ---

2008-01-28 blindman.exe (1.0.0.7)
2008-01-28 SDDelFile.exe (1.0.2.4)
2008-01-28 SDMain.exe (1.0.0.5)
2008-01-28 SDUpdate.exe (1.0.8.8)
2008-01-28 SDWinSec.exe (1.0.0.11)
2008-01-28 SpybotSD.exe (1.5.2.20)
2008-01-28 TeaTimer.exe (1.5.2.16)
2006-09-08 unins000.exe (51.41.0.0)
2008-04-07 unins001.exe (51.49.0.0)
2008-01-28 Update.exe (1.4.0.6)
2008-01-28 advcheck.dll (1.5.4.5)
2007-04-02 aports.dll (2.1.0.0)
2005-05-31 borlndmm.dll (7.0.4.453)
2005-05-31 delphimm.dll (7.0.4.453)
2007-11-17 DelZip179.dll (1.79.7.4)
2008-01-28 SDFiles.dll (1.5.1.19)
2008-01-28 SDHelper.dll (1.5.0.11)
2008-01-28 Tools.dll (2.1.3.3)
2005-05-31 UnzDll.dll (1.73.1.1)
2005-05-31 ZipDll.dll (1.73.2.0)
2008-06-17 Includes\Adware.sbi (*)
2008-06-18 Includes\AdwareC.sbi (*)
2008-06-03 Includes\Cookies.sbi (*)
2008-06-03 Includes\Dialer.sbi (*)
2008-06-24 Includes\DialerC.sbi (*)
2008-06-03 Includes\HeavyDuty.sbi (*)
2008-06-16 Includes\Hijackers.sbi (*)
2008-06-17 Includes\HijackersC.sbi (*)
2008-06-25 Includes\Keyloggers.sbi (*)
2008-06-24 Includes\KeyloggersC.sbi (*)
2004-11-29 Includes\LSP.sbi (*)
2008-06-24 Includes\Malware.sbi (*)
2008-06-24 Includes\MalwareC.sbi (*)
2008-06-17 Includes\PUPS.sbi (*)
2008-06-24 Includes\PUPSC.sbi (*)
2007-11-07 Includes\Revision.sbi (*)
2008-06-10 Includes\Security.sbi (*)
2008-06-18 Includes\SecurityC.sbi (*)
2008-06-03 Includes\Spybots.sbi (*)
2008-06-03 Includes\SpybotsC.sbi (*)
2008-06-17 Includes\Spyware.sbi (*)
2008-06-17 Includes\SpywareC.sbi (*)
2008-06-03 Includes\Tracks.uti
2008-06-24 Includes\Trojans.sbi (*)
2008-06-25 Includes\TrojansC.sbi (*)
2008-03-04 Plugins\Chai.dll
2008-03-05 Plugins\Fennel.dll
2008-02-26 Plugins\Mate.dll
2007-12-24 Plugins\TCPIPAddress.dll
         
-hijackthis (noch in der version v1991) laufen lassen:
Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 16:08: VIRUS ALERT!, on 05.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Mozilla Firefox_2.0_RC1\Mozilla Firefox\firefox.exe
C:\WINDOWS\explorer.exe
C:\Programme\hijackthis_198\HJT1991.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: tfnslopk - {42484978-AB82-4FD8-9113-1C8016D942A6} - C:\WINDOWS\tfnslopk.dll
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
         
gefixt hatte ich:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O21 - SSODL: tfnslopk - {42484978-AB82-4FD8-9113-1C8016D942A6} - C:\WINDOWS\tfnslopk.dll

-ich habe dann über regedit (ging dann schonmal wieder) den taskmanager und die ie-stasrtseite auf about:blank gesetzt
anm: ich surfe aber immer über firefox.

-das startmenü habe ich mir über taskleiste-eigenschaften wieder zurechtgebaut.

-ich habe mit kaspersky 7 schonmal gescannt und was gefunden wurde entfernt
Code:
ATTFilter
Arbeitsplatz untersuchen : abgeschlossen
----------------------------------------
Untersucht:	643950
Gefunden:	3
Nicht bearbeitet:	0
Start:	05.08.2008 17:35: VIRUS ALERT!
Dauer:	17:53:35
Ende:	06.08.2008 11:29: VIRUS ALERT!

Gefunden
--------
Status	Objekt
------	------
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd	Datei: C:\*ABGEKÜRZT*\4-SmitfraudFix\SmitfraudFix.zip/SmitfraudFix/swsc.exe//UPX
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd	Datei: C:\*ABGEKÜRZT*\4-SmitfraudFix\SmitfraudFix\swsc.exe//UPX
gelöscht: trojanisches Programm Backdoor.Win32.Hupigon.dckd	Datei: C:\WINDOWS\system32\swsc.exe//UPX
         
anm: überall dieser blöde kommentar VIRUS ALERT!

dann habe ich CCleaner aktualisiert, sowie hijackthis .

jetzt lass ich mal CCleaner laufen, und HijackThis in der neuen version.
dann poste ich das ergebnis.

anm: ich halte mein system möglichst up-to-date, es werden alle windows-updates installiert (ausser sp3 - habe da von einigen problemen gehört und ich mich voher schlau machen wollte), ich habe auch unnötige dienst weitegehends abgeschaltet - hatte diensteabschalten schon früher einmal runtergeladen.
ich habe auch schonmal secuniaPSI und combofix runtergeladen - aber noch nicht gestartet - ich wolllte das lieber nicht auf eigeninitative machen - bzw mich von einem fachmann leiten lassen.
also ich wäre sehr dankbar, wenn sich einer meiner annehmen würde.
vielen dank im vorraus.

Alt 06.08.2008, 23:47   #2
JuuuHuuu
 
Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



huch...jetzt hab ich das thema hoffentlich nicht im falschen forum erstellt?
wenn das besser in das forum Hijacker / HiJackThis Logs posten einstellen sollte, dann bitte ich um "administratives verschieben" - danke.

so, ich habe nun erst CCleaner nach anleitung reinigen lassen und dann HijackThis in der letzten version laufen lassen.
ich bin etwas geschockt, dass sich wieder so viele einträge eingenistet haben.
eigentlich war ich immer ganz zufrieden, da ich immer recht wenige einträge hatte (siehe log oben)

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:19: VIRUS ALERT!, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\VMware\VMware Player\hqtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\HiJackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O21 - SSODL: tfnslopk - {5D1E73FF-D7FB-4C9A-B737-5D38BA0719FB} - (no file)
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 5160 bytes
         
die logfileauswertung ergibt schonmal folgende einträge zum fixen:
Code:
ATTFilter
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'Default user')
         
und mit fragezeichen:
Code:
ATTFilter
O21 - SSODL: tfnslopk - {5D1E73FF-D7FB-4C9A-B737-5D38BA0719FB} - (no file)
O24 - Desktop Component 0: (no name) - (no file)
         
ich denke man kann doch wesentlich mehr rausschmeissen, oder?
ich warte jetzt aber ersteinmal auf expertenantworten...
vielen dank vorab.
viele grüße.

ups, ich wollte vor einstellung des textes eine sicherung auf meinem pc speichern (in einer text-datei) und auf einmal kann ich keinen explorer mehr öffnen - also keine taskleiste, kein startmenü, kann nur noch den taskmanager aufrufen, aber mein geöffneter ordner ist weg, sowie das geöffnete HijackThis sowie dessen log... - seltsam (schei...)...
__________________


Alt 06.08.2008, 23:54   #3
Silent sharK
 

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



Hallo,
suche bitte die csdata32.exe per Suchfunktion (Rechtsklick auf Start => Suchen.../auch versteckte Dateien durchsuchen!)
damit du weißt, wo sich die Datei befindet.
Wenn du sie gefunden hast, lade sie bitte bei Virustotal hoch und poste das Analysenergebnis.

Danach folge bitte der Anleitung von MalwareBytes, Link in meiner Signatur.

mfg
__________________
__________________

Alt 07.08.2008, 00:40   #4
JuuuHuuu
 
Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



hallo,
danke schonmal für deine schnelle antwort.
leider kann ich die datei nicht finden.
ich habe, wie in einer anleitung mal beschrieben wurde, die suchoptionen
-systemordner durchsuchen
-versteckte elemente durchsuchen
-unterordner durchsuchen
ausgewählt.

allerdings wird wenn ich wie beschrieben mit start - suche - "suchen in" die partition c: und d: nicht mehr angezeigt - nur noch die partition e:
ich habe dann über explorer c: die suche gestartet, das gleiche ebenfalls mit d: - das sollte doch dann auch funktionieren, oder?

die datei ist aber nicht zu finden...
ich habe mal im netzt nachgeschaut - demnach sollte sie in c:\windows\system32 liegen - also will ich nachschauen und öffne c:\windows - promt bekomme ich von kav7 die meldung:
trojanisches programm
trojan.win32.vapsup.jwx
datei:
c:\windows\eovn.exe

das scheint also ein übeltäter zu sein, oder?

Alt 07.08.2008, 00:43   #5
Silent sharK
 

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



Dann lade die c:\windows\eovn.exe bei Virustotal hoch und dann danach MalwareBytes (Antivirenwächter derweil deaktivieren!).

Oh gott, bei Dir ändern sich Warnmeldungen über "Trojaner".

__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 07.08.2008, 01:05   #6
JuuuHuuu
 
Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



virustotal wirft folgene meldungen raus:
Code:
ATTFilter
Datei eovn.exe empfangen 2008.08.07 01:48:53 (CET)

Ergebnis: 14/36 (38.89%)
Antivirus 		Version 	letzte aktualisierung 	Ergebnis
AhnLab-V3		2008.8.7.0	2008.08.06		-
AntiVir			7.8.1.19	2008.08.06		ADSPY/AdSpy.Gen
Authentium		5.1.0.4		2008.08.07		-
Avast			4.8.1195.0	2008.08.06		-
AVG			8.0.0.156	2008.08.06		Generic3.KRE
BitDefender		7.2		2008.08.06		Trojan.Zlob.CRS
CAT-QuickHeal		9.50		2008.08.06		-
ClamAV			0.93.1		2008.08.06		-
DrWeb			4.44.0.09170	2008.08.06		-
eSafe			7.0.17.0	2008.08.06		-
eTrust-Vet		31.6.6016	2008.08.06		Win32/Pripecs!generic
Ewido			4.0		2008.08.06		-
F-Prot			4.4.4.56	2008.08.06		-
F-Secure		7.60.13501.0	2008.08.06		-
Fortinet		3.14.0.0	2008.08.06		-
GData			2.0.7306.1023	2008.08.06		Trojan.Win32.Vapsup.jwx
Ikarus			T3.1.1.34.0	2008.08.06		Virus.Win32.Vapsup.GV
K7AntiVirus		7.10.405	2008.08.06		-
Kaspersky		7.0.0.125	2008.08.07		Trojan.Win32.Vapsup.jwx
McAfee			5355		2008.08.06		-
Microsoft		1.3807		2008.08.07		Trojan:Win32/Zlob.gen!Q
NOD32v2			3333		2008.08.06		-
Norman			5.80.02		2008.08.06		W32/DLoader.ITNI
Panda			9.0.0.4		2008.08.06		-
PCTools			4.4.2.0		2008.08.06		-
Prevx1			V2		2008.08.07		Malicious Software
Rising			20.56.22.00	2008.08.06		-
Sophos			4.31.0		2008.08.07		-
Sunbelt			3.1.1537.1	2008.08.06		Adware.NetAdware.Gen
Symantec		10		2008.08.07		Downloader.Zlob!gen.3
TheHacker		6.2.96.393	2008.08.04		-
TrendMicro		8.700.0.1004	2008.08.06		-
VBA32			3.12.8.2	2008.08.06		suspected of Downloader.Zlob.8 (paranoid heuristics)
ViRobot			2008.8.6.1326	2008.08.06		-
VirusBuster		4.5.11.0	2008.08.06		-
Webwasher-Gateway	6.6.2		2008.08.06		Ad-Spyware.AdSpy.Gen

weitere Informationen
File size: 139264 bytes
MD5...: 901b10d711c09477d173a326ba71bbc8
SHA1..: 1116e2ab10d12219c998b62e29346dd8bcf70bbe
SHA256: 0e560f5760a1a1e6df66f6f27a6465be2a197044af7d4984f80788ff05e5611a
SHA512: 2aeb8a4480e6873ebfd2f53ce76058d59ba89f7c266038eace160bb448783b74
ef95f57ad4246525cb51ad76f5c23bd19049f06aa6cd2a651d1a0b231bc060ee
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x40bea8
timedatestamp.....: 0x4897c962 (Tue Aug 05 03:30:42 2008)
machinetype.......: 0x14c (I386)
         

frage: was meinst du mit "oh gott, bei dir ändern sich warnmeldungen über "Trojaner""
habe ich was falsch gemacht?
danke nochmals für die hilfe, und ich lass jetzt mal Malwarebytes arbeiten...

Alt 07.08.2008, 01:08   #7
Silent sharK
 

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



Zitat:
frage: was meinst du mit "oh gott, bei dir ändern sich warnmeldungen über "Trojaner""
habe ich was falsch gemacht?
Nein nein, ich beneide dich in Sachen dessen nur nicht.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 07.08.2008, 11:29   #8
JuuuHuuu
 
Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



soooo, nun habe ich schonmal was abgearbeitet:
malwarebytes hat was gefunden, was ich dann habe von Malwarebytes löschen lassen:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1030
Windows 5.1.2600 Service Pack 2

07:39:15 07.08.2008
mbam-log-8-7-2008 (07-39-15).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 182526
Laufzeit: 1 hour(s), 48 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 2
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\VSPlugin (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\SecuriSoft SARL (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\tfnslopk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductId (Trojan.FakeAlert) -> Bad: (VIRUS ALERT!) Good: (55372-OEM-0011903-00126) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuriSoft SARL (Rogue.WinSpywareProtect) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuriSoft SARL\WinSpywareProtect (Rogue.WinSpywareProtect) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecuriSoft SARL\WinSpywareProtect\wspwprtct.exe (Rogue.WSPwprtct) -> Quarantined and deleted successfully.
C:\System Volume Information\_restore{C7E87882-F72B-4CC6-B94B-0C5CDA4414CA}\RP342\A0114126.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\eovn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
C:\WINDOWS\hosts (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\lnvegaow.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.
         
danach war schonmal diese blöde VIRUS ALERT! weg, und meine laufwerke wieder auf'm arbeitsplatz sichtbar.

ich habe dann nochmal malwarebyte laufen lassen, und er hat dann auch nichts mehr gefunden.

hijackthis hat dann folgendes rausgeschmissen:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 09:57:25, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\WINDOWS\system32\vmnat.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\VMware\VMware Player\hqtray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\HiJackThis\HijackThis.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\Mozilla Firefox\firefox.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKLM\..\Run: [VMware hqtray] "C:\Programme\VMware\VMware Player\hqtray.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Data Machine] csdata32.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 5115 bytes
         
durch logifleauswertung habe ich dann schonmal gefixt (sind aber nach neustart noch einige wiederaufetaucht):
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:13:46, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\bgsvcgen.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
C:\Programme\VMware\VMware Player\vmware-authd.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\WINDOWS\system32\vmnetdhcp.exe
C:\Programme\HiJackThis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [update run dos] logon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe (file missing)
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe (file missing)
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Unknown owner - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe (file missing)
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - NetGroup - Politecnico di Torino - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - C:\Programme\VMware\VMware Player\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 4234 bytes
         
wobei diese hier:
Code:
ATTFilter
O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [update run dos] logon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'Default user')
         
NEU! aufgetaucht sind!

ich habe dann noch über msconfig ein paar sachen abgeschaltet, und komme nun auf folgendes logfile:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:55:46, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\HiJackThis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [update run dos] logon.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: h**p://*.aolcdn.com
O15 - Trusted Zone: h**p://*.shoutcast.com
O15 - Trusted Zone: h**p://*.winamp.com
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 2773 bytes
         
nun bräuchte ich hilfe, was ich jetzt machen soll.
vielen dank vorab wiedermal.

p.s: der eintrag O24 ist auch komisch, was sollte ich damit machen?

Alt 07.08.2008, 12:58   #9
Silent sharK
 

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



Es sieht schlecht aus,
Zitat:
O4 - HKUS\S-1-5-18\..\Run: [update run dos] logon.exe (User 'SYSTEM')
SdBot Wurm
Zitat:
O4 - HKUS\S-1-5-18\..\RunOnce: [Microsoft Windows Update] svcshost.exe (User 'SYSTEM')
Andere Bot-Wurm Variante.

Es wäre wichtig, diese Dateien zu finden.
Wenn sie da sind, ist der Fall klar: Neuaufsetzen
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 07.08.2008, 14:05   #10
JuuuHuuu
 
Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



hallo,
ohh, das hört sich ja schlecht an.
ich hatte die 2 teile mal probeweise mit HijackThis gefixt.
nun habe ich deine antwort erst nachher gelesen.
habe nach den dateien gesucht, aber sie nicht gefunden.

für logon als suche finde ich nur winlogon unter
c:\windows\$ntservicepackuninstall$
c:\windows\system 32
c:\windows\servicepackfiles\i386
c:\windows\system 32\dllcache

sowie chglogon unter
c:\windows\system 32\dllcache

für svcshost.exe finde ich
garnichts.

wenn ich jetzt HijackThis laufen lasse, kommen auch keine neuen einträge drin vor
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:58:24, on 07.08.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16674)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\PRISMSTA.EXE
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\DitExp.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\Programme\FolderSize\FolderSizeSvc.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\UPHClean\uphclean.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\HiJackThis\HijackThis.exe

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [PRISMSTA.EXE] PRISMSTA.EXE START
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O15 - Trusted Zone: http://*.aolcdn.com
O15 - Trusted Zone: http://*.shoutcast.com
O15 - Trusted Zone: http://*.winamp.com
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Folder Size (FolderSize) - Brio - C:\Programme\FolderSize\FolderSizeSvc.exe
O23 - Service: AVM IGD CTRL Service (IGDCTRL) - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
O24 - Desktop Component 0: (no name) - (no file)

--
End of file - 2518 bytes
         
halt nur noch dieses
O24 - Desktop Component 0: (no name) - (no file)
oder ist es mit dem fixen der beiden o.g. auffälligen einträge noch nicht getan?

könnte man nicht noch etwas mit combofix reissen?
neu aufsetzten wäre für mich im moment nicht möglich, da ich leider im moment "gesundheitliche verpflichtungen" habe.
danke weiterhin für die hilfe.

Alt 07.08.2008, 14:15   #11
Silent sharK
 

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



Ok, dann arbeite die folgenden Schritte hier ab.
Wenn sowas drauf ist, finden wir es auch:

Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.


Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
  • Führe die Datei navilog1.exe aus, eine Installationsroutine wird beginnen.
  • Sollte das Programm nach Abschluß der Installation nicht automatisch gestartet werden, führe es bitte per
    Doppelklick auf das Navilog1-Shortcut auf deinem Desktop aus.
  • Wähle E für Englisch im Sprachenmenü
  • Wähle 1 im nächsten Menü um "Suche" auszuwählen. Bestätige mit Enter.
  • Die Dauer des Scans kann variieren, bitte abwarten. Wenn du aufgefordert wirst, eine Taste zu drücken, tue dies bitte.
  • Ein neues Dokument sollte erstellt und geöffnet werden: fixnavi.txt.
  • Bitte füge den Inhalt dieser Datei in deine nächste Antwort ein.
Der Bericht wird außerdem im Hauptverzeichnis (z.B.: "C:\") erstellt.

Hinweis:
Navilog1.exe wir von einigen Antivirenprogrammen als bösartig erkannt. Dies ist ein Fehlalarm. Die Nachricht bitte ignorieren.

Zu deinen Fragen:
Zitat:
O24 - Desktop Component 0: (no name) - (no file)
Das kannst du fixen.
Zitat:
könnte man nicht noch etwas mit combofix reissen?
Dieses Tool ist nur von Kompetenzlern, Mod's und Admin's berechtigt, zu empfehlen, tut mir leid.
Aber es ist auch nicht notwendig.
Zitat:
neu aufsetzten wäre für mich im moment nicht möglich, da ich leider im moment "gesundheitliche verpflichtungen" habe.
Wenn die betroffenen Dateien nicht auf deinem Rechner sind, musst du das auch nicht zwangsweise.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 08.08.2008, 18:02   #12
JuuuHuuu
 
Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



so,
nachdem ich nach heftigen gewitter den pc vom netzt getrennt hatte, kann ich jetzt wieder weiterarbeiten.
ich habe also deine anweisungen befolgt.
leider??? ist nichts gefunden worden.

hier die logs: fsbl.exe
Code:
ATTFilter
08/07/08 15:43:38 [Info]: BlackLight Engine 1.0.70 initialized
08/07/08 15:43:38 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/07/08 15:43:38 [Note]: 7019 4
08/07/08 15:43:38 [Note]: 7005 0
08/07/08 15:44:31 [Note]: 7006 0
08/07/08 15:44:32 [Note]: 7011 328
08/07/08 15:44:32 [Note]: 7035 0
08/07/08 15:44:32 [Note]: 7026 0
08/07/08 15:44:32 [Note]: 7026 0
08/07/08 15:44:37 [Note]: FSRAW library version 1.7.1024
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 15:53:51 [Note]: 2000 1012
08/07/08 17:24:33 [Note]: 7007 0
         
Navilog1
Code:
ATTFilter
Search Navipromo version 3.6.1 began on 07.08.2008 at 17:28:19,28

!!! Warning, this report may include legitimate files/programs !!!
!!! Post this report on the forum you are being helped !!!
!!! Don't continue with removal unless instructed by an authorized helper !!!
Fix running from C:\Programme\navilog1
Actual User Account : "* *" 

Updated on 19.07.2008 at 20h00 by IL-MAFIOSO


Microsoft Windows XP [Version 5.1.2600]
Version Internet Explorer : 7.0.5730.11
Filesystem type : NTFS

Search done in normal mode

*** Searching for installed Software ***


*** Search folders in "C:\WINDOWS" ***


*** Search folders in "C:\Programme" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1\progra~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\All Users\startm~1" ***


*** Search folders in "c:\dokume~1\alluse~1\anwend~1" ***


*** Search folders in "C:\Dokumente und Einstellungen\* *\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Besitzer\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Gast\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Internet\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\* *\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Gast\lokale~1\anwend~1" *** 


*** Search folders in "C:\DOKUME~1\Internet\lokale~1\anwend~1" *** 


*** Search folders in "C:\Dokumente und Einstellungen\* *\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\ADMINI~1\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\Gast\startm~1\progra~1" *** 


*** Search folders in "C:\DOKUME~1\Internet\startm~1\progra~1" *** 

*** Search with Catchme-rootkit/stealth malware detector by gmer ***
for more info : http://www.gmer.net

No Navipromo file found


*** Search with GenericNaviSearch ***
!!! Possibility of legitimate files in the result !!!
!!! Must always be checked before manually deleting !!!

* Scan in "C:\WINDOWS\system32" *

* Scan in "C:\Dokumente und Einstellungen\* *\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\Gast\lokale~1\anwend~1" * 

* Scan in "C:\DOKUME~1\Internet\lokale~1\anwend~1" * 



*** Search files *** 



*** Search specific Registry keys ***


*** Complementary Search ***
(Search specific files)

1)Search new Instant Access files :


2)Heuristic Search :

* In "C:\WINDOWS\system32" :


* In "C:\Dokumente und Einstellungen\* *\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\ADMINI~1\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\Gast\lokale~1\anwend~1" : 


* In "C:\DOKUME~1\Internet\lokale~1\anwend~1" : 


3)Certificates Search :

Egroup certificate not found !
Electronic-Group certificate not found !
OOO-Favorit certificate not found !
Sunny-Day-Design-Ltd certificate not found !

4)Search known files :



*** Search completed on 07.08.2008 at 17:38:56,23 ***
         
ist das jetzt gut oder schlecht das nichts gefunden wurde?
h h ho (zitter) hoffentlich n n ni nicht...


p.s.: O24 - Desktop Component 0: (no name) - (no file) kann ich mit HijackThis nicht fixen.

Geändert von JuuuHuuu (08.08.2008 um 18:07 Uhr)

Alt 08.08.2008, 19:06   #13
Silent sharK
 

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



Sieht gut aus, versuch den O24-Eintrag im Safe Mode zu fixen.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Alt 09.08.2008, 17:16   #14
JuuuHuuu
 
Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



hallo,
ich bekomme das ding auch im abgesichertem modus nicht gefixt...

Alt 09.08.2008, 17:20   #15
Silent sharK
 

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - Standard

Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.



Naja egal, tragisch ist das nicht.
Nur ein unnötiger (unwirksamer) Eintrag.

Wenn er dich nicht stört, dann belassen wir das ganze.
__________________
mfg, Patrick


Technische Kompromittierung
=> Tatort Internet
Keine Windows-CD? Selbst brennen.


Antwort

Themen zu Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.
1.exe, alert, combofix, desktop, dsl, einstellungen, error, firefox, internet, internet explorer, kaspersky, malware, mozilla, mozilla firefox, pop-ups, programme, regedit deaktiviert, rundll, rundll32, software, spyware, taskmanager, trojanisches programm, virus, virus alert, virus alert!, windows xp, wmid




Ähnliche Themen: Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe.


  1. TR/Spy.560136.6 in A0108858.exe durch AVira gefunden, Newbie braucht Hilfe
    Plagegeister aller Art und deren Bekämpfung - 02.01.2012 (4)
  2. newbie braucht hilfe (logonui.exe)
    Plagegeister aller Art und deren Bekämpfung - 09.07.2009 (4)
  3. Hallo..Virus auf meinem XP..HILFE!!
    Plagegeister aller Art und deren Bekämpfung - 28.04.2009 (3)
  4. Hallo, hab leider einen Virus! Brauche Hilfe
    Plagegeister aller Art und deren Bekämpfung - 09.09.2008 (7)
  5. Batch-Virus Probleme: VIRUS ALERT! Benötige Hilfe zur vollständigen Reinigung
    Plagegeister aller Art und deren Bekämpfung - 25.08.2008 (15)
  6. Virus Alert - Brauche dringend hilfe!
    Log-Analyse und Auswertung - 02.08.2008 (0)
  7. Virus Alert! neben der uhr... HILFE
    Log-Analyse und Auswertung - 29.06.2008 (15)
  8. Virus Alert Hilfe
    Mülltonne - 27.06.2008 (1)
  9. Brauche Hilfe, Virus lässt sich nicht lsöchen!!!Hallo Leute, erst mal hallo, ich bin
    Plagegeister aller Art und deren Bekämpfung - 03.03.2008 (5)
  10. virus alert! Symbol in der Taskleiste HILFE!!
    Log-Analyse und Auswertung - 28.05.2006 (1)
  11. Popup Spam, Virus Alert, etc Hilfe
    Plagegeister aller Art und deren Bekämpfung - 17.05.2006 (4)
  12. Newbie braucht Hilfe: hoher Ping :(
    Plagegeister aller Art und deren Bekämpfung - 24.11.2005 (7)
  13. Newbie braucht Hilfe
    Log-Analyse und Auswertung - 03.07.2005 (4)
  14. Hilfe ! Newbie am Werk !
    Log-Analyse und Auswertung - 22.06.2005 (8)
  15. NEWbie braucht hilfe !
    Log-Analyse und Auswertung - 10.05.2005 (3)
  16. Viren-Newbie braucht Hilfe beim Kampf gegen Trojaner
    Log-Analyse und Auswertung - 08.02.2005 (8)
  17. Eine Freundin braucht Hilfe wegen eines hartnäckigen Virus
    Plagegeister aller Art und deren Bekämpfung - 17.01.2004 (4)

Zum Thema Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. - hallo, ich habe mir leider ebenfalls diesen plagegeist eingefangen, wie er schon mehfach beschrieben wurde (VIRUS ALERT! neben der uhr, pop-ups taskmanager und regedit deaktiviert, startmenü fehlt, usw eingefangen). folgendes - Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe....
Archiv
Du betrachtest: Hallo, Newbie braucht ebennfalls bei VIRUS ALERT hilfe. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.