Dear Sir!

Bei einem Routinecheck mit dem Programm Superanti Spyware habe ich heute 2Trojaner endeckt.

Code: Alles auswählenAufklappen

ATTFilter

Trojan.Unclassified/FRMWRK32-B
	C:\DOKUMENTE UND EINSTELLUNGEN\LOKALE EINSTELLUNGEN\TEMP\WJQS.EXE

Trojan.Dropper/UserInit-Fake
	C:\WINDOWS\SYSTEM32\USERINIT.EXE
         

Ich habe die beiden mit hilfe des Super Anti Spyware programms entfernt und danach noch 2 mal Malwarebyte drüber laufen lassen. Dieser Programm fand nichts. Auch Ad-Aware hat nichts mehr gefunden. Da aber Trojaner sehr resistende Biester sind wollte ich zur sicherheit mal ein Log von Hijack schicken um mal zu sehen ob nicht noch was schlimmeres auf meinem Rechner ist.

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro Hijack This v2.0.2
Scan saved at 22:58:42, on 27.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.telekom.at/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [gStart] C:\Garmin\gStart.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: PokerStars.net - {FA9B9510-9FCB-4ca0-818C-5D0987B47C4D} - C:\Programme\PokerStars.NET\PokerStarsUpdate.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {2B323CD9-50E3-11D3-9466-00A0C9700498} - http://us.chat1.yimg.com/us.yimg.com/i/chat/applet/v45/yacscom.cab
O16 - DPF: {4ED9DDF0-7479-4BBE-9335-5A1EDB1D8A21} - http://download.mcafee.com/molbin/shared/mcinsctl/4,0,0,101/mcinsctl.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1125336285890
O16 - DPF: {7D1E9C49-BD6A-11D3-87A8-009027A35D73} - http://chat.yahoo.com/cab/yacsui.cab
O16 - DPF: {BCC0FF27-31D9-4614-A68E-C18E1ADA4389} - http://download.mcafee.com/molbin/shared/mcgdmgr/1,0,0,26/mcgdmgr.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 6437 bytes
         

Ich wäre sehr erfreut und dankbar wenn sich jemand seine Zeit opfert um sich das Log anzusehen.

Mit freundlichen Grüßen, Pickett

Hast du die Dateien noch in Quarantäne?

Ja die beiden Trojaner befinden sich noch in Quarantäne

Deaktiviere KURZ den Guard und sende die Dateien hier ein: VirusTotal - Kostenloser online Viren- und Malwarescanner
Ergebnis bitte Posten

Keine sorge, wenn der guard kurz deaktiviert ist

Die beiden Dateien befinden sich im Moment nicht mehr dort. Ich hätte die möglichkeit sie aus der Qurantäne wieder herzustellen. Dann könnte ich sie Posten. Oder klappt das auch ohne sie widerherzustellen?

Nein, du musst sie wieder herstellen! Deaktiviere für diese kurze zeit auf jeden fall den Guard! TIPP: Benutze lieber Avira! Der Virenscanner ist besser!

Ich gebe dir noch en Tipp: Downloade SP 3

So da bin ich wieder.
Ich hoffe ich mache das richtig mit den Bilder einfügen. Das ergebnis sieht ja zum aus.

Das wäre mal die erste Datei Wjqs.exe

So da bin ich wieder.
Ich hoffe ich mache das richtig mit den Bilder einfügen. Das ergebnis sieht ja zum aus.

Das wäre mal die erste Datei Wjqs.exe

Virustotal. MD5: 4656a7c8d2d8f8df4b868e75a4e0cd90 Downloader.MisleadApp Trojan.Crypt.ZPACK.Gen Trojan-Downloader:W32/Injecter.AD

Gut! Ergebnis des 2. auch hier posten

ich hab die ergebnis seite verlinkt weil das mit der Grafik anzeigen hat nicht geklappt

Über den ersten konnte ich leider nur folgendes herausfinden:

Zitat:

Name: TR/Crypt.ZPACK.Gen
Entdeckt am: 20/02/2009
Art: Trojan
In freier Wildbahn: Ja
Gemeldete Infektionen: Niedrig
Verbreitungspotenzial: Niedrig
Schadenspotenzial: Niedrig
Statische Datei: Nein
Engine Version: 7.09.00.87

Spezialerkennung TR/Crypt.ZPACK.Gen

Beschreibung:
Eine generische Erkennungsroutine um gemeinsame Familienmerkmale der verschiedenen Varianten zu erkennen.

Diese generische Erkennungsroutine wurde entwickelt um unbekannte Varianten zu erkennen. Sie wird kontinuierlich weiterentwickelt.


Versionsliste:
Um die Erkennung zu verbessern wurde die Engine mit folgenden Versionen aktualisiert:

• 7.09.00.79 ( 13/02/2009 )
• 7.09.00.83 ( 17/02/2009 )
• 7.09.00.93 ( 26/02/2009 )
• 7.09.00.105 ( 05/03/2009 )

Datei Einzelheiten Laufzeitpacker:
Um eine Erkennung zu erschweren und die Größe der Datei zu reduzieren wurde sie mit einem Laufzeitpacker gepackt.

Wenn du fertig bist Datei wieder in quara verschieben

Bei dem zweiten hat er nichts gefunden. Ich pack die mal wieder in die Quarantäne und sp3 werde ich mir auch sobald als möglich runterladen.

Mal vielen dank für die Mühe

Ich helfe dir gerne! Ich habe noch ein paar ideen! Aber erstmal muss ich schlafen^^ sozusagen im schlaf fällt mir was ein... bis morgen

Entschuldige das Doppelposten, aber ich habe herausgefunden, das der 2. en FAKE ist! ne Fehlmeldung