Zurück   Trojaner-Board > Archiv - Kein Posten möglich > Mülltonne

Mülltonne: Komische Vorgänge....

Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne...

 
Alt 03.11.2008, 13:23   #1
emotopia
 
Komische Vorgänge.... - Standard

Komische Vorgänge....



Hallöchen,
gestern fing mein PC an ein Selbstleben zu entwickeln.
Zuerst ist ein Ordner mit einem Spiel verschwunden. Dies habe ich mit einem Recovery-Tool halbwegs wiederherstellen können (das Savegame zumindest).
Zuerst dachte ich noch das ich evtl. das selbst aus Versehen gelöscht habe. Nunja heute fahre ich den PC hoch und bekomme die Meldung das meine boot.ini fehlt und das von c:/windows gestartet wird. Nach etwas suchen im Web habe ich nun eine neue Boot.ini angelegt.
Soweit so gut.
Dennoch kommt mir das ganze doch etwas arg spanisch vor und ich kann eigentlich nicht von einer versehentlichen Löschung ausgehen...

Schritte die ich bisher unternommen habe:
Virenscan mit Antivir:
Ergebnis war hier ein gefundener Trojaner in einem RAR Archiv (also eigentlich noch unschädlich, wobei ich hier sogar von einem False Positiv ausgehe, aber da muss ich noch abwarten) den ich bei virustotal hochgeladen habe. Dort wurde 9 von xx Scanner fündig.
Habe des weiteren die Datei in die Quarantäne verschoben und auch bei Avira hochgeladen zur weiteren Diagnose. Das Ergebnis steht noch aus.

Danach habe ich mit HijackThis ein Logfile erstellt und bei Hijackthis.de zur Auswertung durchgejagt. Alle Prozesse sind laut dort sicher außer einer von einem Freeware (Opensource) Game (Soundeditor.exe oder sowas).
Ich habe das Game nun auch deinstalliert.

Was für Schritte kann ich noch tun bzw. wie kann ich feststellen was hier eigentlich passiert ist. Nicht das ich mir doch so einen netten aktiven Liebling eingefangen habe...

Alt 03.11.2008, 13:59   #2
emotopia
 
Komische Vorgänge.... - Standard

Komische Vorgänge....



Antivir-Log
Code:
ATTFilter
Beginn des Suchlaufs: Sonntag, 2. November 2008  20:21

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'soundserver.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '35' Prozesse mit '35' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
    [INFO]      Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '58' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\'
C:\hiberfil.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
    [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\JVMF8.tmp
    [0] Archivtyp: CAB (Microsoft)
    --> aa.class
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6NVQT1UO\loginapplet-167bbe2e[1].cab
    [0] Archivtyp: CAB (Microsoft)
    --> aa.class
      [WARNUNG]   Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen.
C:\download\eth32_v0.9.rar
    [0] Archivtyp: RAR
    --> eth32_0.9\eth32.exe
      [FUND]      Ist das Trojanische Pferd TR/Agent.26624
    [HINWEIS]   Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4975ff8c.qua' verschoben!


Ende des Suchlaufs: Sonntag, 2. November 2008  21:32
         
__________________


Alt 03.11.2008, 14:00   #3
emotopia
 
Komische Vorgänge.... - Standard

Komische Vorgänge....



HiJackthis-Log:
Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:59:36, on 03.11.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\windows\system32\ctfmon.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll
O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217969898203
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6296 bytes
         
__________________

Alt 03.11.2008, 14:10   #4
emotopia
 
Komische Vorgänge.... - Standard

Komische Vorgänge....



Malwarebytes' Anti-Malware Logfile:
Code:
ATTFilter
Malwarebytes' Anti-Malware 1.30
Datenbank Version: 1358
Windows 5.1.2600 Service Pack 3

03.11.2008 14:33:23
mbam-log-2008-11-03 (14-33-23).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 102723
Laufzeit: 29 minute(s), 28 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
         
Ein Fund und gelöscht.
Wie gesagt den Trojaner schließe ich eigentlich aus da er ja in einem RAR Archiv war/ist. Und die Searchbar die durch Anti-Malware entfernt wurde dürfte meines Wissens so etwas ja nicht auslösen?!
Was kann ich noch tun???

Geändert von emotopia (03.11.2008 um 14:35 Uhr)

Alt 03.11.2008, 15:41   #5
emotopia
 
Komische Vorgänge.... - Standard

Komische Vorgänge....



Etwas was ich noch bemerkt habe (aber keine Ahnung ob das normal ist):
Wenn ich die versteckten Ordner anschaue finde ich unter C: direkt das Verzeichnis: System Volume Information
Allerdings wird mir der Zugriff darauf verweigert?!
Ist dies normal oder auch eine von diesen Ungereimtheiten?
Wäre um Hilfe wegen des Problems (wenn hier wirklich irgend etwas sein Unwesen treibt) doch sehr dankbar....

//EDIT:
Zum besagten Fund bei der Rar-Datei habe ich folgendes gefunden (was den False Positiv wohl bekräftigt):
http://aimbots.net/eth32/13904-tr-ag...4-virus-2.html

Und ja ich hatte den Aimbot laufen auf einem Aimbot-Server (also bitte nix ala du elendiger Cheater geschieht dir recht, das Ding wird meiner Meinung nach eh erkannt wenn es auf nen norm-Server läuft).


Geändert von emotopia (03.11.2008 um 15:51 Uhr)

Alt 03.11.2008, 16:11   #6
Leonidas88
 
Komische Vorgänge.... - Standard

Komische Vorgänge....



Dein Hijack schaut sauber aus. Das heißt aber nicht das sauber bist.

Beim ominösen Ordner handelt es sich um die Systemwiederherstellung. Wenn die deaktivierst ist der Ordner weg.

Vielleicht überprüfst mal deine Festplatte mit einem Diagnose Tool.

 

Themen zu Komische Vorgänge....
aktive, antivir, auswertung, avira, datei, erstellt, freeware, gelöscht, hijack, hijackthis, komische, logfile, meldung, neue, ordner, prozesse, quarantäne, scan, scanner, spanisch, suche, trojaner, virus, virustotal, web, wickel




Ähnliche Themen: Komische Vorgänge....


  1. Seltsame Vorgänge im Internet Explorer: Links, Werbeanzeigen, Pop-Ups, veränderte Google-Treffer-Liste...
    Plagegeister aller Art und deren Bekämpfung - 29.04.2015 (3)
  2. Komische mails
    Plagegeister aller Art und deren Bekämpfung - 09.03.2014 (7)
  3. Kontrolliert mein Arbeitgeber Vorgänge auf PC durch Spyware? WIN7
    Überwachung, Datenschutz und Spam - 26.08.2013 (5)
  4. Rootkit verlangsamt Programmstart und Copy/Paste-Vorgänge (Windows XP 64bit)
    Log-Analyse und Auswertung - 25.03.2012 (38)
  5. Flash Player löscht sich selbst und andere ominöse Vorgänge am PC
    Plagegeister aller Art und deren Bekämpfung - 27.09.2011 (3)
  6. komische vorgänge im internet
    Plagegeister aller Art und deren Bekämpfung - 08.12.2010 (23)
  7. Merkwürdige Vorgänge bei Firefox, PC infiziert?
    Log-Analyse und Auswertung - 11.11.2010 (25)
  8. Mysteriöse Vorgänge am PC - Virus?
    Plagegeister aller Art und deren Bekämpfung - 21.10.2010 (1)
  9. Nicht erklärbare Vorgänge in meinem System!
    Plagegeister aller Art und deren Bekämpfung - 02.01.2010 (2)
  10. Komische Exe?
    Log-Analyse und Auswertung - 28.07.2008 (2)
  11. IE 7 stockt, Vorgänge Task-Manager?
    Log-Analyse und Auswertung - 09.09.2007 (2)
  12. IE 7 stockt, Vorgänge Task-Manager
    Mülltonne - 08.09.2007 (0)
  13. Komische Fehlermeldungen
    Log-Analyse und Auswertung - 19.07.2007 (3)
  14. komische links bei icq und komische email was ist das??
    Plagegeister aller Art und deren Bekämpfung - 09.05.2007 (3)
  15. Komische Leiste?!
    Plagegeister aller Art und deren Bekämpfung - 18.03.2007 (4)
  16. ungewöhnliche Vorgänge
    Antiviren-, Firewall- und andere Schutzprogramme - 31.07.2005 (14)
  17. Komische Zeichen
    Mülltonne - 15.07.2005 (1)

Zum Thema Komische Vorgänge.... - Hallöchen, gestern fing mein PC an ein Selbstleben zu entwickeln. Zuerst ist ein Ordner mit einem Spiel verschwunden. Dies habe ich mit einem Recovery-Tool halbwegs wiederherstellen können (das Savegame zumindest). - Komische Vorgänge.......
Archiv
Du betrachtest: Komische Vorgänge.... auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.