Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT

Lajana81 · 16.09.2009, 13:49

Hallo zusammen :-)

Habe seit einiger Zeit ein Problem und weiß mir leider nicht zu helfen. Kenn mich auch ehrlich gesagt zuwenig aus.

Seit ca. 14 Tagen teilte Avira ständig mit, dass ein Wurm Trojaner etc. gefunden wurde. Leider war Avira auch nicht up to date. Habe jetzt die neuste Version und es wurde vorallem Kolab.dss und Trojan/Dldr Phersl sowie Pher NM gefunden. Diese wurden laut Avira auch entfernt.

Ich bin besorgt, da mein Internet die letzt 14 Tagen auch teilweise sehr langsam ist, auch unser Provider hat geschrieben, dass über unsere Leitung Spam versand wird... so ein Mißt.

Habe versucht mir selbst zu helfen und mit Bitdefender gescant auch er hat etwas gefunden und etnfernt.

So sah der Bericht aus:

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP275\A0041024.exe
Infiziert: Trojan.AutoIT.ADN

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP275\A0041024.exe
Gelscht

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP289\A0044690.exe
Infiziert: Trojan.AutoIT.ADN

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP289\A0044690.exe
Gelscht

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP292\A0044788.exe
Infiziert: Gen:Trojan.Heur.AutoIT.Qq3@bqYTZBaO

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP292\A0044788.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP292\A0044788.exe
Gelscht

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP295\A0044839.exe
Infiziert: Gen:Trojan.Heur.AutoIT.Qq3@bW2m3weO

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP295\A0044839.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{D89DAF45-8EAA-41C0-9F60-708980EAC599}\RP295\A0044839.exe
Gelscht

C:\WINDOWS\system32\csrcs.exe
Infiziert: Gen:Trojan.Heur.AutoIT.Uq3@bm2uyllO

C:\WINDOWS\system32\csrcs.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\csrcs.exe
Lschung fehlgeschlagen

C:\WINDOWS\system32\sysmgr.exe
Erkannt: Application.Generic.179479

C:\WINDOWS\system32\sysmgr.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\sysmgr.exe
Lschung fehlgeschlagen

Hmm.. verzweifel

Die csrcs.exe ist im Ordner 32 jedoch gar nicht zusehen, auch wenn ich die versteckten anzeigen lassen.

Habe hier auch die Hijacs:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:15:03, on 15.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\csrcs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\sysmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\system32\cmd.exe
C:\WINDOWS\system32\net.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft(R) System Manager] C:\WINDOWS\system32\sysmgr.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent
O4 - HKCU\..\Run: [msrtm] C:\WINDOWS\msd32.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\mslsrv.exe
O4 - HKLM\..\Policies\Explorer\Run: [csrcs] C:\WINDOWS\system32\csrcs.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scanner/sources/de/scan8/oscan8.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-03.sun.com/s/ESD5/JSCDL/jdk/6u10/jinstall-6u10-windows-i586-jc.cab?e=1225748620104&h=52db758edad87ca76984be5646b1c682/&filename=jinstall-6u10-windows-i586-jc.cab
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
Es wäre super wenn mir jemad sagen könnte ob ich eine hoffnungslose Spamschleuder bin

Auch wäre es super, wenn ihr es mir verständlich erklärt, dann kann ich auch was lernen.

Ich danke euch allen jetzt schon.

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT

Plagegeister aller Art und deren Bekämpfung: Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT

Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT

Ähnliche Themen: Hilfe! Wenig Ahnung aber dafür Trojan.Heur.AutoIT