|
Plagegeister aller Art und deren Bekämpfung: Trojaner Proxy.Small VO.1Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.04.2009, 08:59 | #1 |
| Trojaner Proxy.Small VO.1 Hallo allerseits, habe mir gestern abend laut Meldung Avira Antivir den o.g. Trojaner eingefangen. Habe den Vorschlag des Programmes "Zugriff verweigern" bestätigt. Heute morgen beim Systemsrat kam von Antivir erneute Meldung über den Trojaner. Beim suchen nach möglichen Lösungen -u.a. im Antivir-Forum- hab ich mich letztlich nicht getraut, dort vereinzelt beschriebene Lösungswege zu gehen, weil die System- bzw. Programmvoraussetzungen anders waren und ich da keinerlei Differenzierung leisten kann. Daher nachfolgend die ersten Schritte, die Ihr hier beschrieben habt mit der Bitte um Hilfe: 1. CCleaner mehrfach laufen lassenm, alles gelöscht. 2. Malwarebytes: Hier ist die Log-Datei Code:
ATTFilter Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1961 Windows 5.1.2600 Service Pack 3 10.04.2009 09:07:05 mbam-log-2009-04-10 (09-07-05).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 163390 Laufzeit: 25 minute(s), 23 second(s) Infizierte Speicherprozesse: 1 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 2 Infizierte Dateiobjekte der Registrierung: 2 Infizierte Verzeichnisse: 0 Infizierte Dateien: 3 Infizierte Speicherprozesse: C:\WINDOWS\services.exe (Trojan.Agent) -> Failed to unload process. Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\services (Trojan.Agent) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\services\del (Malware.Trace) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders\SecurityProviders (Trojan.Agent) -> Data: digiwet.dll -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Dokumente und Einstellungen\Uli\Lokale Einstellungen\Temp\pdfupd.exe (Trojan.Spambot) -> Quarantined and deleted successfully. C:\WINDOWS\services.exe (Trojan.Agent) -> Delete on reboot. C:\WINDOWS\system32\digiwet.dll (Trojan.Agent) -> Quarantined and deleted successfully. Die Log-Datei Code:
ATTFilter [Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 09:15:56, on 10.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16791) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Canon\IJPLM\IJPLMSVC.EXE C:\Programme\Nero\Nero8\InCD\InCDsrv.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Nero\Nero8\InCD\NBHRegInCDSrv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\PSIService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trojaner April 2009\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM') O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{30BAD9CA-1CDB-4424-97AC-0D1786F8D7DE}: NameServer = 192.168.1.1 O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Programme\Canon\IJPLM\IJPLMSVC.EXE O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero8\InCD\InCDsrv.exe O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Programme\Nero\Nero8\InCD\NBHRegInCDSrv.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 5088 bytes Code:
ATTFilter 3D-WinBrick2001 ABBYY FineReader 6.0 Sprint Adobe Acrobat and Reader 8.1.2 Security Update 1 (KB403742) Adobe Flash Player 10 Plugin Adobe Reader 8.1.2 - Deutsch Alida AnyDVD Apple Software Update Atheros Communications Inc.(R) L1 Gigabit Ethernet Driver Atlantis Evolution Audacity 1.2.6 Aura 2: Die Heiligen Ringe Avira AntiVir Personal - Free Antivirus BPM-Studio 4 Profi BurnAware Free Edition 1.2.9 Canon iP4500 series Canon iP4500 series Benutzerregistrierung Canon My Printer Canon Utilities Easy-PhotoPrint EX Canon Utilities Solution Menu CCleaner (remove only) CD-LabelPrint CloneDVD2 Corel MediaOne CorelDRAW Essential Edition 3 CorelDRAW Essential Edition 3 DE DMX 6fire 24/96 ControlPanel HijackThis 2.0.2 IrfanView (remove only) IsoBuster 2.5 Jardinains 2! Jardinains! Java(TM) 6 Update 11 Kyodai Mahjongg 2006 v1.42 LinCity-NG 1.1.2 Malwarebytes' Anti-Malware MediaMonkey 3.0 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 2.0 Microsoft .NET Framework 2.0 Language Pack - DEU Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.0 Microsoft .NET Framework 3.0 German Language Pack Microsoft .NET Framework 3.0 German Language Pack Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Office Suite Activation Assistant Microsoft Office XP Professional mit FrontPage Microsoft Tool Web Package : EXTRACT.EXE Microtek FineReader OCR Engine Mozilla Firefox (3.0.1) MSXML 4.0 SP2 (KB954430) MSXML 6.0 Parser (KB925673) Napster Napster Burn Engine Nero 8 Essentials neroxml NVIDIA Drivers OpenAL PartyPoker PIXMA Extended Survey Program PowerDVD QuickTime Realtek High Definition Audio Driver Rheinbahn Bushaltestelle ScanWizard 5 Security Update für Microsoft .NET Framework 2.0 (KB928365) Sicherheitsupdate für Step by Step Interactive Training (KB923723) Sicherheitsupdate für Windows Internet Explorer 7 (KB938127-v2) Sicherheitsupdate für Windows Internet Explorer 7 (KB953838) Sicherheitsupdate für Windows Internet Explorer 7 (KB956390) Sicherheitsupdate für Windows Internet Explorer 7 (KB958215) Sicherheitsupdate für Windows Internet Explorer 7 (KB960714) Sicherheitsupdate für Windows Internet Explorer 7 (KB961260) Sicherheitsupdate für Windows Media Player (KB952069) Sicherheitsupdate für Windows XP (KB954211) Sicherheitsupdate für Windows XP (KB954459) Sicherheitsupdate für Windows XP (KB954600) Sicherheitsupdate für Windows XP (KB955069) Sicherheitsupdate für Windows XP (KB956391) Sicherheitsupdate für Windows XP (KB956802) Sicherheitsupdate für Windows XP (KB956803) Sicherheitsupdate für Windows XP (KB956841) Sicherheitsupdate für Windows XP (KB957095) Sicherheitsupdate für Windows XP (KB957097) Sicherheitsupdate für Windows XP (KB958644) Sicherheitsupdate für Windows XP (KB958687) Sicherheitsupdate für Windows XP (KB958690) Sicherheitsupdate für Windows XP (KB960225) Sicherheitsupdate für Windows XP (KB960715) Simple Sudoku 4.2 Tunebite 4.1.0.22 TuneUp Utilities 2008 Turbo Lister 2 TweakRAM Update für Windows XP (KB955839) Update für Windows XP (KB967715) Update Manager VCRedistSetup VideoLAN VLC media player 0.8.6i Winamp Windows Communication Foundation Windows Internet Explorer 7 Windows Media Format Runtime Windows Media Player 10 Windows Presentation Foundation Windows Presentation Foundation Language Pack (DEU) Windows Workflow Foundation Windows Workflow Foundation DE Language Pack WinSysClean 2007 Wise Registry Cleaner 3 Free 3.82 XML Paper Specification Shared Components Language Pack 1.0 Ulrich |
13.04.2009, 22:02 | #2 |
| Trojaner Proxy.Small VO.1 Nur mal interessehalber: Wieso hat hier kein Mensch geantwortet?
__________________Trojaner haben wir ja mehr oder weniger alle hier, die Vorarbeiten habe ich gemacht und na ja, "leserlich" habe ich auch geschrieben. Also: Woran lag's? Ehrliche Antwort wär mir lieb. MfG habakuk |
13.04.2009, 23:09 | #3 |
| Trojaner Proxy.Small VO.1 Hallöle.
__________________Aus deinem HijackThis log kann ich nichts erkennen. Scanne mal deine Platte mit eScan, SUPERAntispyware und Gmer. Poste bitte anschließend die Logfiles. .keNNy# |