|
Mülltonne: Komische Vorgänge....Windows 7 Beiträge, die gegen unsere Regeln verstoßen haben, solche, die die Welt nicht braucht oder sonstiger Müll landet hier in der Mülltonne... |
03.11.2008, 13:23 | #1 |
| Komische Vorgänge.... Hallöchen, gestern fing mein PC an ein Selbstleben zu entwickeln. Zuerst ist ein Ordner mit einem Spiel verschwunden. Dies habe ich mit einem Recovery-Tool halbwegs wiederherstellen können (das Savegame zumindest). Zuerst dachte ich noch das ich evtl. das selbst aus Versehen gelöscht habe. Nunja heute fahre ich den PC hoch und bekomme die Meldung das meine boot.ini fehlt und das von c:/windows gestartet wird. Nach etwas suchen im Web habe ich nun eine neue Boot.ini angelegt. Soweit so gut. Dennoch kommt mir das ganze doch etwas arg spanisch vor und ich kann eigentlich nicht von einer versehentlichen Löschung ausgehen... Schritte die ich bisher unternommen habe: Virenscan mit Antivir: Ergebnis war hier ein gefundener Trojaner in einem RAR Archiv (also eigentlich noch unschädlich, wobei ich hier sogar von einem False Positiv ausgehe, aber da muss ich noch abwarten) den ich bei virustotal hochgeladen habe. Dort wurde 9 von xx Scanner fündig. Habe des weiteren die Datei in die Quarantäne verschoben und auch bei Avira hochgeladen zur weiteren Diagnose. Das Ergebnis steht noch aus. Danach habe ich mit HijackThis ein Logfile erstellt und bei Hijackthis.de zur Auswertung durchgejagt. Alle Prozesse sind laut dort sicher außer einer von einem Freeware (Opensource) Game (Soundeditor.exe oder sowas). Ich habe das Game nun auch deinstalliert. Was für Schritte kann ich noch tun bzw. wie kann ich feststellen was hier eigentlich passiert ist. Nicht das ich mir doch so einen netten aktiven Liebling eingefangen habe... |
03.11.2008, 13:59 | #2 |
| Komische Vorgänge.... Antivir-Log
__________________Code:
ATTFilter Beginn des Suchlaufs: Sonntag, 2. November 2008 20:21 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ntvdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'soundserver.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqste08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpqtra08.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'hpwuSchd2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'zlclient.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'rundll32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'PnkBstrA.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ClipInc-Server.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'vsmon.exe' - '0' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '35' Prozesse mit '35' Modulen durchsucht Der Suchlauf über die Masterbootsektoren wird begonnen: Masterbootsektor HD0 [INFO] Es wurde kein Virus gefunden! Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [INFO] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '58' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\hiberfil.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temp\JVMF8.tmp [0] Archivtyp: CAB (Microsoft) --> aa.class [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\Dokumente und Einstellungen\XXX\Lokale Einstellungen\Temporary Internet Files\Content.IE5\6NVQT1UO\loginapplet-167bbe2e[1].cab [0] Archivtyp: CAB (Microsoft) --> aa.class [WARNUNG] Aus diesem Archiv können keine weiteren Dateien ausgepackt werden. Das Archiv wird geschlossen. C:\download\eth32_v0.9.rar [0] Archivtyp: RAR --> eth32_0.9\eth32.exe [FUND] Ist das Trojanische Pferd TR/Agent.26624 [HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4975ff8c.qua' verschoben! Ende des Suchlaufs: Sonntag, 2. November 2008 21:32 |
03.11.2008, 14:00 | #3 |
| Komische Vorgänge.... HiJackthis-Log:
__________________Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:59:36, on 03.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Java\jre1.6.0_07\bin\jusched.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\windows\system32\ctfmon.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe c:\programme\avira\antivir personaledition classic\avcenter.exe C:\WINDOWS\system32\notepad.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1217969898203 O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ClipInc 001 (ClipInc001) - Unknown owner - C:\Programme\Tobit ClipInc\Server\ClipInc-Server.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6296 bytes |
03.11.2008, 14:10 | #4 |
| Komische Vorgänge.... Malwarebytes' Anti-Malware Logfile: Code:
ATTFilter Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1358 Windows 5.1.2600 Service Pack 3 03.11.2008 14:33:23 mbam-log-2008-11-03 (14-33-23).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 102723 Laufzeit: 29 minute(s), 28 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CLASSES_ROOT\CLSID\{9afb8248-617f-460d-9366-d71cdeda3179} (Adware.MyWebSearch) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Wie gesagt den Trojaner schließe ich eigentlich aus da er ja in einem RAR Archiv war/ist. Und die Searchbar die durch Anti-Malware entfernt wurde dürfte meines Wissens so etwas ja nicht auslösen?! Was kann ich noch tun??? Geändert von emotopia (03.11.2008 um 14:35 Uhr) |
03.11.2008, 15:41 | #5 |
| Komische Vorgänge.... Etwas was ich noch bemerkt habe (aber keine Ahnung ob das normal ist): Wenn ich die versteckten Ordner anschaue finde ich unter C: direkt das Verzeichnis: System Volume Information Allerdings wird mir der Zugriff darauf verweigert?! Ist dies normal oder auch eine von diesen Ungereimtheiten? Wäre um Hilfe wegen des Problems (wenn hier wirklich irgend etwas sein Unwesen treibt) doch sehr dankbar.... //EDIT: Zum besagten Fund bei der Rar-Datei habe ich folgendes gefunden (was den False Positiv wohl bekräftigt): http://aimbots.net/eth32/13904-tr-ag...4-virus-2.html Und ja ich hatte den Aimbot laufen auf einem Aimbot-Server (also bitte nix ala du elendiger Cheater geschieht dir recht, das Ding wird meiner Meinung nach eh erkannt wenn es auf nen norm-Server läuft). Geändert von emotopia (03.11.2008 um 15:51 Uhr) |
03.11.2008, 16:11 | #6 |
| Komische Vorgänge.... Dein Hijack schaut sauber aus. Das heißt aber nicht das sauber bist. Beim ominösen Ordner handelt es sich um die Systemwiederherstellung. Wenn die deaktivierst ist der Ordner weg. Vielleicht überprüfst mal deine Festplatte mit einem Diagnose Tool. |
03.11.2008, 16:18 | #7 | |
| Komische Vorgänge....Zitat:
Chkdsk und Defrag hab ich auch schon vor wenigen Tagen gemacht (außer das Defrag mir dringend eine Defragmentierung angeraten hat nix auffälliges). Das mit der Syswiederherstellung hatte ich garnicht bedacht *g* Stimmt da war noch was in den grauen Zellen Gibt es noch Programme die ich darüber laufen lassen sollte oder wie was wer ^^. Ich habe einfach iwie Angst das mir wieder ein Ordner oder eine Datei verschwindet. Wie gesagt ich habe diese definitiv nicht gelöscht (wenn dann müssten die Sachen ja auch im Papierkorb liegen was sie nicht getan haben). |
03.11.2008, 16:34 | #8 |
| Komische Vorgänge.... Um sicher zu gehen mußt sauber das Arbeitsprogramm durchführen, das dir ein Kompetenzler gibt. Oder du machst es auf eingene Faust. Ich würds so machen bzw. hab ich gute Erfahrungen damit (Wie gesagt - keine Garantie) arbeite bitte folgende Anleitung der Reihe nach ab: 1.) Anleitung SmitfraudFix: Lade dir dieses Tool -> SmitfraudFix * Starte das Programm im abgesicherten Modus dann und lass das System dort reinigen. (Option 2) * Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans 2.) MalwareBytes Anti-Malware : * Lade dir Malwarebytes Anti-Malware * Folge den Anweisungen der Anleitung * Lösche alles in der Quarantäne: * poste das enstandene Logfile 3.) ComboFix * Lade dir das Tool hier herunter auf den Desktop -> KLICK Das Programm jedoch noch nicht starten sondern zuerst folgendes tun: * Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen. * Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung * Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen. * Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt. Wichtiger Hinweis: Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren. Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. (ausführliche Anleitung -> Ein Leitfaden und Tutorium zur Nutzung von ComboFix) |
03.11.2008, 16:37 | #9 | |
| Komische Vorgänge....Zitat:
hm da ich ja schon einen Teil davon gemacht habe und Combofix wohl mit Vorsicht zu genießen ist warte ich wohl doch lieber auf einen Kompetenzler der sich der Sache annimmt ) Nicht das ich evtl. was ganzes doch noch kaputt bekomme |
Themen zu Komische Vorgänge.... |
aktive, antivir, auswertung, avira, datei, erstellt, freeware, gelöscht, hijack, hijackthis, komische, logfile, meldung, neue, ordner, prozesse, quarantäne, scan, scanner, spanisch, suche, trojaner, virus, virustotal, web, wickel |