| |
| |||||||
Log-Analyse und Auswertung: Bitte um Hilfe - Trojaner gefunden!Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
 |
12.10.2009, 12:23
| #1 |
 |  Bitte um Hilfe - Trojaner gefunden! Hallo an alle, hoffe Ihr könnt mir helfen! - Mein CPU ist völlig ausgelastet - Internet ist langsam - kaspersky schlägt ständig an - verdächtig viele prozesse laufen im Hintergrund - abgesicherter Modus lässt sich nicht mehr starten Hier mein log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:12:02, on 12.10.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Intel\Wireless\Bin\EvtEng.exe C:\Programme\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe C:\WINDOWS\system32\servises.exe C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Acer\Empowering Technology\admtray.exe C:\Acer\Empowering Technology\admServ.exe C:\Acer\Empowering Technology\ePower\ePower_DMC.exe C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe C:\Programme\Bonjour\mDNSResponder.exe C:\WINDOWS\RTHDCPL.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\FastNetSrv.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\PnkBstrA.exe C:\Programme\Intel\Wireless\Bin\RegSrvc.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\Shared Files\RichVideo.exe C:\Programme\FreePDF_XP\fpassist.exe C:\WINDOWS\System32\PAStiSvc.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\WINDOWS\system32\svchost.exe C:\DOKUME~1\Stefan\LOKALE~1\Temp\RtkBtMnt.exe C:\Programme\RealVNC\VNC4\WinVNC4.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe C:\WINDOWS\system32\servises.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\servises.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe C:\Programme\Orb Networks\Orb\bin\OrbTray.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\servises.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\Programme\LG Soft India\fortePivot\bin\fortePivot.exe C:\WINDOWS\system32\wbem\unsecapp.exe C:\Programme\PC Connectivity Solution\ServiceLayer.exe C:\Programme\PC Connectivity Solution\Transports\NclUSBSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclIrSrv.exe C:\Programme\PC Connectivity Solution\Transports\NclRSSrv.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://fwalerts.zonelabs.com/fwalerts/fwanalyze.jsp?V103=AcCoAAPAqABYHAQAAIsAAAABAAAAAQAAAAIAAAABAAAAoYYBADAyMDIHBAIAAQANAQKmTwAAAAAAAAABQAAA//8B+ZLN05351511763263-4901,,,,Windows+XP-5.1.2600-Service+Pack+2-SMP,7.0.462.000,BlockAll2,j5hvqhisiu3s4he7bhx644bu4g0,1,,&CL=de&LICFLAG=1&OEM=4901&SKU=0&Mode=1&Product=ZoneAlarm R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\WINDOWS\system32\eDStoolbar.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ADMTray.exe] "C:\Acer\Empowering Technology\admtray.exe" O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe O4 - HKLM\..\Run: [Acer ePower Management] C:\Acer\Empowering Technology\ePower\Acer ePower Management.exe boot O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKLM\..\Run: [msxml193] RUNDLL32.EXE C:\WINDOWS\system32\msxm193z.dll,w O4 - HKLM\..\Run: [HTV Agent] C:\Programme\HTV\HTV.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programme\TuneUp Utilities 2007\MemOptimizer.exe" autostart O4 - HKCU\..\Run: [PC Suite Tray] "C:\Programme\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray O4 - HKCU\..\Run: [Orb] "C:\Programme\Orb Networks\Orb\bin\OrbTray.exe" /background O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe O4 - HKCU\..\Run: [Security Center] C:\WINDOWS\sc.exe O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: fortePivot.lnk = ? O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{06B82E9F-AEB4-46AA-91F2-1B15F5F9D865}: NameServer = 192.168.0.1 O17 - HKLM\System\CS3\Services\Tcpip\..\{06B82E9F-AEB4-46AA-91F2-1B15F5F9D865}: NameServer = 192.168.0.1 O17 - HKLM\System\CS4\Services\Tcpip\..\{06B82E9F-AEB4-46AA-91F2-1B15F5F9D865}: NameServer = 192.168.0.1 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll,C:\PROGRA~1\KASPER~1\KASPE R~1\mzvkbd3.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe O23 - Service: AdminWorks Agent X6 (AWService) - Avocent Inc. - C:\Acer\Empowering Technology\admServ.exe O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe O23 - Service: fastnetsrv Service (fastnetsrv) - Sigma Designs In - C:\WINDOWS\system32\FastNetSrv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programme\RealVNC\VNC4\WinVNC4.exe -- End of file - 14064 bytes Geändert von baerliner (12.10.2009 um 12:49 Uhr) |
|
12.10.2009, 13:11
| #2 |
| /// Helfer-Team  | Bitte um Hilfe - Trojaner gefunden! Hallo bearliner und
__________________ Dein System ist übelst verseucht! Code:
ATTFilter C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Run: [msxml193] RUNDLL32.EXE C:\WINDOWS\system32\msxm193z.dll
O4 - HKCU\..\Run: [PopRock] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe
O4 - HKCU\..\Run: [Security Center] C:\WINDOWS\sc.exe
O4 - HKCU\..\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKLM\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKCU\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe
O4 - HKUS\S-1-5-18\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Policies\Explorer\Run: [servises] C:\WINDOWS\system32\servises.exe (User 'Default user')
Code:
ATTFilter O4 - HKLM\..\Run: [msxml193] RUNDLL32.EXE C:\WINDOWS\system32\msxm193z.dll
ThreatExpert Report: Virus.Win32.Virut.ce, W32.Virut.CF, W32/Scribble-B, Virus:Win32/Virut.BM.. Die anderen "Freunde" werden alle mit Backdoors, Fileinfector (Virut) und auch Rootkits in Verbindung gebracht! Lass bitte folgende Dateien bei VirusTotal - Kostenloser online Viren- und Malwarescanner auswerten: Code:
ATTFilter C:\WINDOWS\system32\msxm193z.dll
C:\WINDOWS\sc.exe
C:\WINDOWS\system32\servises.exe
http://www.trojaner-board.de/51262-a...sicherung.html Was meldet denn Kaspersky und welche Datein? Um einen Überblick zu erhalten, arbeite bitte folgende Liste ab Punkt 2 ab: http://www.trojaner-board.de/69886-a...-beachten.html Poste bitte alle anfallenden Logfiles sowie ein Logfile von den Funden von Kaspersky! Viel Erfolg ! Gruß Handball10
__________________ |
|
13.10.2009, 09:57
| #3 |
| | Bitte um Hilfe - Trojaner gefunden! Hallo,
__________________ja das habe ich auch bemerkt das mein System verseucht ist. Das Löschen der verdächtigen Programme geht nicht im Win-betrieb. Abgesicherter Modus kann nicht gestartet werden. Evtl. von Bart XPE booten und von dort aus versuchen zu löschen? Kaspersky schlägt bei folgenden Alarm: 13.10.2009 10:22:24 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse jsactivity.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS 13.10.2009 10:16:55 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse bfkq.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS Servises.exe konnte ich manuell löschen. bei virustotal wurden keine ergebnisse gefunden. Virus Total: - überprüfen der Datei fastnetsry.exe Datei FastNetSrv.exe empfangen 2009.10.13 08:34:48 (UTC) Status: Laden ... Überprüfung Beendet Ergebnis: 7/41 (17.08%) BitDefender 7.2 2009.10.13 Gen:Trojan.Heur.fG0@SsKHqIfb Comodo 2591 2009.10.13 Backdoor.Win32.Refpron.~B GData 19 2009.10.13 Gen:Trojan.Heur.fG0@SsKHqIfb McAfee-GW-Edition 6.8.5 2009.10.13 Heuristic.LooksLike.Trojan.Backdoor.Delf.H NOD32 4501 2009.10.12 a variant of Win32/Refpron.AF Rising 21.51.12.00 2009.10.13 Backdoor.Win32.Meb.a weitere Informationen File size: 95232 bytes MD5...: 665cc98c05a439f2370852cdb0b77f52 SHA1..: ea98ff389e3cf9145f52dbc0efc51f2b26572cfe SHA256: fc6c307e68ebe1c61c534834c100f273245cc39cf6bca81b662139f9434c6077 ssdeep: 1536:75qDEOZN6zD2Fu/lXG7sTzORP6rLxWjSW3fODDwo6UuPhl9o:sw7863ENmH wNll9o PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x13228 timedatestamp.....: 0xc0d875e6L (invalid) machinetype.......: 0x14c (I386) ( 8 sections ) name viradd virsiz rawdsiz ntrpy md5 CODE 0x1000 0x12280 0x12400 6.43 f4055a75993aa7f9f33916591ac13179 DATA 0x14000 0x794 0x800 4.24 d3529d8e031288af6791b5e33da740f3 BSS 0x15000 0xb3d 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .idata 0x16000 0x8a2 0xa00 4.25 e045a960aa991b87dfa5196ca11451eb .tls 0x17000 0xc 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e .rdata 0x18000 0x18 0x200 0.20 3668967f26843d0bc049b1b675038ba5 .reloc 0x19000 0x19ec 0x1a00 6.67 99cff54aac5fff381b217a3188e1e1a5 .rsrc 0x1b000 0x6c00 0x1e00 5.02 716065761efedfa3c6612e36c0d38003 ( 7 imports ) > kernel32.dll: GetCurrentThreadId, DeleteCriticalSection, LeaveCriticalSection, EnterCriticalSection, InitializeCriticalSection, VirtualFree, VirtualAlloc, LocalFree, LocalAlloc, VirtualQuery, WideCharToMultiByte, MultiByteToWideChar, lstrlenA, lstrcpynA, lstrcpyA, LoadLibraryExA, GetThreadLocale, GetStartupInfoA, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetCommandLineA, FreeLibrary, FindFirstFileA, FindClose, ExitProcess, WriteFile, UnhandledExceptionFilter, SetFilePointer, SetEndOfFile, RtlUnwind, ReadFile, RaiseException, GetStdHandle, GetFileSize, GetFileType, CreateFileA, CloseHandle > user32.dll: GetKeyboardType, LoadStringA, MessageBoxA, CharNextA > advapi32.dll: RegQueryValueExA, RegOpenKeyExA, RegCloseKey > oleaut32.dll: VariantChangeTypeEx, VariantCopyInd, VariantClear, SysStringLen, SysFreeString, SysReAllocStringLen, SysAllocStringLen > kernel32.dll: TlsSetValue, TlsGetValue, LocalAlloc, GetModuleHandleA, GetModuleFileNameA > kernel32.dll: WriteFile, WaitForSingleObject, VirtualQuery, SetFilePointer, SetEndOfFile, ReadFile, LoadLibraryExW, LeaveCriticalSection, InitializeCriticalSection, GetVersionExA, GetThreadLocale, GetProcAddress, GetModuleHandleA, GetModuleFileNameA, GetLocaleInfoA, GetLastError, GetDiskFreeSpaceA, GetCurrentThreadId, GetCPInfo, FormatMessageA, EnumCalendarInfoA, EnterCriticalSection, DeleteCriticalSection, CreateFileA, CreateEventA, CompareStringA, CloseHandle > user32.dll: MessageBoxA, LoadStringA, GetSystemMetrics, DestroyWindow ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: Win32 Executable Generic (38.4%) Win32 Dynamic Link Library (generic) (34.1%) Win16/32 Executable Delphi generic (9.3%) Generic Win/DOS Executable (9.0%) DOS Executable Generic (9.0%) sigcheck: publisher....: Sigma Designs Inc copyright....: n/a product......: Swap Filter description..: Sigma Designs PCM Swap Filter original name: n/a internal name: n/a file version.: 5. 3. 174 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned Datei sc.exe empfangen 2009.10.13 08:40:53 (UTC) Status:Überprüfung Beendet Ergebnis: 10/41 (24.4%) a-squared 4.5.0.41 2009.10.13 Trojan.Win32.Vilsel.gyl!A2 AntiVir 7.9.1.35 2009.10.13 HEUR/Malware BitDefender 7.2 2009.10.13 Gen:Trojan.Heur.wmGfvPZhUQhOx CAT-QuickHeal 10.00 2009.10.12 Trojan.Agent.ATV eSafe 7.0.17.0 2009.10.12 Suspicious File GData 19 2009.10.13 Gen:Trojan.Heur.wmGfvPZhUQhOx McAfee 5769 2009.10.12 Generic.dx!fma McAfee-GW-Edition 6.8.5 2009.10.13 Heuristic.LooksLike.Win32.Suspicious.C!81 NOD32 4501 2009.10.12 Win32/TrojanDownloader.FakeAlert.AKC weitere Informationen File size: 364032 bytes MD5...: 7ea85666197e711f828ee2458f4c084f SHA1..: 9afc55518adb3d6f33bb50f1f801f231b2eff8e0 SHA256: 77e8b6d9fac205847c0d2de532b52fb0241146eae8b0c10bfde3fe87310e4037 ssdeep: 6144  2YpeaSMZoLTrlCE8AIoYCeZwirzNcppFS90J/5DmpID72KVrYtJJ1e3F9mIEOBR2VS9EBDmoEtDk PEiD..: - PEInfo: PE Structure information ( base data ) entrypointaddress.: 0xc34e0 timedatestamp.....: 0xc0d875e6L (invalid) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 UPX0 0x1000 0x6d000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e UPX1 0x6e000 0x56000 0x55800 7.91 96e0326e060b2c404ce066154b4e0eb0 .rsrc 0xc4000 0x8000 0x3200 3.91 ac1521edaa632bd71635faa666a8d7a4 ( 11 imports ) > KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, VirtualAlloc, VirtualFree, ExitProcess > advapi32.dll: RegFlushKey > comctl32.dll: ImageList_Add > gdi32.dll: SaveDC > ole32.dll: IsEqualGUID > oleaut32.dll: VariantClear > shell32.dll: Shell_NotifyIconA > user32.dll: GetDC > version.dll: VerQueryValueA > winmm.dll: PlaySoundA > winspool.drv: OpenPrinterA ( 0 exports ) RDS...: NSRL Reference Data Set - pdfid.: - trid..: UPX compressed Win32 Executable (38.5%) Win32 EXE Yoda's Crypter (33.4%) Win32 Executable Generic (10.7%) Win32 Dynamic Link Library (generic) (9.5%) Win16/32 Executable Delphi generic (2.6%) packers (F-Prot): UPX sigcheck: publisher....: n/a copyright....: n/a product......: n/a description..: n/a original name: n/a internal name: n/a file version.: n/a comments.....: n/a signers......: - signing date.: - verified.....: Unsigned packers (Kaspersky): PE_Patch.UPX, UPX Datei 5ED29D8100A0611B70260072A07F03000287AE6A.dll empfangen 2009.10.10 23:27:21 (UTC) Status: Beendet Ergebnis: 4/41 (9.76%) (msxn193z.dll) Authentium 5.1.2.4 2009.10.10 W32/Bongler-based!Maximus F-Prot 4.5.1.85 2009.10.10 W32/Bongler-based!Maximus Prevx 3.0 2009.10.11 Medium Risk Malware Sophos 4.45.0 2009.10.10 Mal/Behav-170 weitere Informationen File size: 28672 bytes MD5 : adac7828ff7e3fb6ee9c799ef19879ac SHA1 : 9785c2cdcbc4f71c7a84e9ce65a2f84d9906e49c SHA256: 6fc70d5495ff9aa0b5e9ee913278ec541e06dd7999067fe5f9f0353a11f700b6 PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x2D05 timedatestamp.....: 0x4AD08192 (Sat Oct 10 14:44:02 2009) machinetype.......: 0x14C (Intel I386) ( 5 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x1DC2 0x2000 6.28 75c752e7873e62790fbad1d5ddd98f6a .rdata 0x3000 0x6BE 0x1000 2.67 0abf9f7c1f1188ad973f9c718810859a .data 0x4000 0x3F7C 0x1000 0.57 671322569a747718456c0a933153acc7 .rsrc 0x8000 0x360 0x1000 0.89 d77a9cf7943ccb6f469e695c5441c97e .reloc 0x9000 0x226 0x1000 0.96 11edbda599217f3ffbb18beac7f3594e ( 5 imports ) > advapi32.dll: LookupPrivilegeValueA, RegOpenKeyExA, AdjustTokenPrivileges, OpenProcessToken, RegQueryValueExA, RegSetValueExA, RegCreateKeyA, RegCloseKey > kernel32.dll: CreateThread, CloseHandle, GetCurrentProcess, GetCurrentDirectoryA, GlobalUnlock, GlobalLock, SetCurrentDirectoryA, Sleep, GetModuleHandleA, GetProcAddress, GetSystemInfo, lstrcmpiA, GetVersionExA, GetModuleFileNameA > msvcrt.dll: _stricmp, _strlwr, _adjust_fdiv, malloc, _initterm, free, _splitpath, _ftol, fopen, fseek, fread, fclose, strstr, __2@YAPAXI@Z, __3@YAXPAX@Z, sprintf, _except_handler3, _itoa > user32.dll: OpenClipboard, SetWindowsHookExA, wsprintfA, CharLowerA, GetSystemMetrics, CloseClipboard, GetClipboardData, EnumClipboardFormats, GetMessageA, CallNextHookEx, GetClientRect, DispatchMessageA, TranslateMessage > wininet.dll: InternetReadFile, InternetOpenUrlA, InternetOpenA, InternetCloseHandle ( 1 exports ) > AR, GetVer, w TrID : File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%) ssdeep: 384:9sN8NjIibONdrz6DqsVp+xKWdyGeissK:WN8NsibWdHogdVel Prevx Info: http://info.prevx.com/aboutprogramtext.asp?PX5=5ED29D8100A0611B70260072A07F03000287AE6A PEiD : - RDS : NSRL Reference Data Set |
|
13.10.2009, 11:49
| #4 | ||||
| /// Helfer-Team | Bitte um Hilfe - Trojaner gefunden! Hallo baerliner, Zitat:
Bitte versuche, die Datei wiederherzustellen und lösche bitte nichts mehr, ohne Aufforderung dazu! Das ganze Zeugs scheint sehr neu zu sein... Bitte lade folgende Dateien bei uns hoch http://www.trojaner-board.de/54791-a...ner-board.html: Code:
ATTFilter C:\WINDOWS\system32\FastNetSrv.exe
C:\WINDOWS\sc.exe
C:\WINDOWS\system32\servises.exe
5ED29D8100A0611B70260072A07F03000287AE6A.dll
C:\WINDOWS\system32\msxm193z.dll
Zitat:
Zitat:
Zitat:
Dein System ist kompromittiert! Technische Kompromittierung ? Wikipedia Auch wenn man das Zeugs löscht kannst du nie mehr zu 100% sicherstellen, dass das System sauber ist. Lass bitte noch folgende Programme laufen:
Logfiles posten und anschließend geht es hier weiter: http://www.trojaner-board.de/51262-a...sicherung.html Viel Erfolg! Gruß Handball10
__________________ Lustige Rechtschreibfehler des Trojanischen Pferdes "Trojan.Win32.FraudPack.ajn" Lustige Rechtschreibfehler von "XP Deluxe Protector" - Neu !! |
|
13.10.2009, 13:50
| #5 |
| | Bitte um Hilfe - Trojaner gefunden! Hallo habe die Dateien hochgeladen... "C:\WINDOWS\system32\servises.exe 5ED29D8100A0611B70260072A07F03000287AE6A.dll" habe ich nicht gefunden. DrWeb macht keinen Sinn, da ich den abgesicherten Modus nicht gestartet bekomme... "Zitat: 13.10.2009 10:22:24 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse jsactivity.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS 13.10.2009 10:16:55 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse bfkq.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS Siehst du auch, welcher Prozess es versucht ?" Kaspersky sagt "b.exe" finde diese Datei aber nicht. weitere Berichte von Kaspersky: 13.10.2009 13:16:40 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse searchproductkey.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS 13.10.2009 13:16:40 Verwendung von Systemfunktionen (DNS) zum heimlichen Senden von Daten an eine Netzwerkadresse interhomesite.com Verboten: KLPrivileges/KLPermissionSystem/KLPermissionHiddenNetAct/KLUseDNS Denke ich werde mir ein neuen Lappi zulegen und win 7 ausprobieren  Wie kann ich vor so einem Chaos schützen, dachte mit Kaspersky bin ich sicher unterwegs!?!Scan-Log von GMER: GMER 1.0.15.15125 - http://www.gmer.net Rootkit scan 2009-10-13 14:44:44 Windows 5.1.2600 Service Pack 3 Running: 2072w625.exe; Driver: C:\DOKUME~1\Stefan\LOKALE~1\Temp\pxtdrpob.sys ---- System - GMER 1.0.15 ---- SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwAdjustPrivilegesToken [0xB5C56A72] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwClose [0xB5C5701E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwConnectPort [0xB5C58A82] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateFile [0xB5C58438] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateKey [0xB5C561E8] SSDT d346bus.sys (PnP BIOS Extension/ ) ZwCreatePagingFile [0xBA692A20] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateSymbolicLinkObject [0xB5C5A3E4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwCreateThread [0xB5C56E1A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteKey [0xB5C5662A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeleteValueKey [0xB5C5682A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDeviceIoControlFile [0xB5C58744] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwDuplicateObject [0xB5C5A8F0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateKey [0xB5C56940] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwEnumerateValueKey [0xB5C569A8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwFsControlFile [0xB5C585FA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwLoadDriver [0xB5C59EA8] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenFile [0xB5C58294] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenKey [0xB5C5634A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenProcess [0xB5C56C40] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenSection [0xB5C5A40E] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwOpenThread [0xB5C56B96] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryKey [0xB5C56A10] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryMultipleValueKey [0xB5C56714] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueryValueKey [0xB5C564F2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwQueueApcThread [0xB5C5A110] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwReplaceKey [0xB5C55E6A] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRequestWaitReplyPort [0xB5C5930C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwRestoreKey [0xB5C55FCC] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwResumeThread [0xB5C5A7C0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSaveKey [0xB5C55C68] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSecureConnectPort [0xB5C58924] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetContextThread [0xB5C56F18] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSecurityObject [0xB5C59FA2] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetSystemInformation [0xB5C5A438] SSDT d346bus.sys (PnP BIOS Extension/ ) ZwSetSystemPowerState [0xBA69E230] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSetValueKey [0xB5C563A0] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendProcess [0xB5C5A51C] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSuspendThread [0xB5C5A648] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwSystemDebugControl [0xB5C59DD4] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwTerminateProcess [0xB5C56CEA] SSDT \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) ZwWriteVirtualMemory [0xB5C56D5C] Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) FsRtlCheckLockForReadAccess Code \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) IoIsOperationSynchronous ---- Kernel code sections - GMER 1.0.15 ---- .text ntkrnlpa.exe!FsRtlCheckLockForReadAccess 804EAF84 5 Bytes JMP B5C6D1E8 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) .text ntkrnlpa.exe!IoIsOperationSynchronous 804EF912 5 Bytes JMP B5C6D5A2 \SystemRoot\system32\DRIVERS\klif.sys (Klif Mini-Filter fre_wnet_x86/Kaspersky Lab) .text ntkrnlpa.exe!ZwCallbackReturn + 2C68 80504504 4 Bytes CALL 13060A6A .text ntkrnlpa.exe!ZwCallbackReturn + 2FB8 80504854 12 Bytes [1C, A5, C5, B5, 48, A6, C5, ...] .text ntkrnlpa.exe!ZwCallbackReturn + 2FC8 80504864 4 Bytes JMP A4B5C56C ? C:\WINDOWS\system32\drivers\sptd.sys Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird. .text USBPORT.SYS!DllUnload B85D38AC 5 Bytes JMP 8A731960 ---- User code sections - GMER 1.0.15 ---- ? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[540] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; .text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[540] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD } .text C:\Programme\Orb Networks\Orb\bin\OrbTray.exe[1332] kernel32.dll!SetUnhandledExceptionFilter 7C84495D 5 Bytes JMP 00413C60 C:\Programme\Orb Networks\Orb\bin\OrbTray.exe (Orb/Orb Networks) ? C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2256] C:\WINDOWS\system32\kernel32.dll time/date stamp mismatch; .text C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe[2256] USER32.dll!AlignRects + FFFA5598 7E362A78 4 Bytes [70, 11, 41, 6D] {JO 0x13; INC ECX; INSD } ---- Kernel IAT/EAT - GMER 1.0.15 ---- IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [BA6E4A9A] sptd.sys IAT \SystemRoot\system32\DRIVERS\tcpip.sys[TDI.SYS!TdiRegisterDeviceObject] [B9FC17B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) IAT \SystemRoot\system32\DRIVERS\netbt.sys[TDI.SYS!TdiRegisterDeviceObject] [B9FC17B0] kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) ---- User IAT/EAT - GMER 1.0.15 ---- IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExA] [0041680B] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!CreateWindowExW] [00416885] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\ole32.dll [USER32.dll!ShowWindow] [004168FF] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!SetWindowPos] [004169B1] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\wininet.dll [USER32.dll!CreateWindowExW] [00416885] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExA] [0041680B] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!CreateWindowExW] [00416885] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!SetWindowPos] [004169B1] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\SHLWAPI.dll [USER32.dll!ShowWindow] [004168FF] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!CreateWindowExW] [00416885] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!ShowWindow] [004168FF] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe IAT C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe[212] @ C:\WINDOWS\system32\shell32.dll [USER32.dll!SetWindowPos] [004169B1] C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe ---- Devices - GMER 1.0.15 ---- Device \FileSystem\Ntfs \Ntfs 8A9861D8 AttachedDevice \FileSystem\Ntfs \Ntfs OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) Device \Driver\NetBT \Device\NetBT_Tcpip_{06B82E9F-AEB4-46AA-91F2-1B15F5F9D865} 8A3A5980 AttachedDevice \Driver\Tcpip \Device\Ip kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.) Device \Driver\usbuhci \Device\USBPDO-0 8A7241D8 Device \Driver\usbuhci \Device\USBPDO-1 8A7241D8 Device \Driver\dmio \Device\DmControl\DmIoDaemon 8A9881D8 Device \Driver\dmio \Device\DmControl\DmConfig 8A9881D8 Device \Driver\dmio \Device\DmControl\DmPnP 8A9881D8 Device \Driver\dmio \Device\DmControl\DmInfo 8A9881D8 Device \Driver\usbuhci \Device\USBPDO-2 8A7241D8 Device \Driver\usbuhci \Device\USBPDO-3 8A7241D8 Device \Driver\usbehci \Device\USBPDO-4 8A6F7980 AttachedDevice \Driver\Tcpip \Device\Tcp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) Device \Driver\Ftdisk \Device\HarddiskVolume1 8A9181D8 Device \Driver\Ftdisk \Device\HarddiskVolume2 8A9181D8 Device \Driver\Cdrom \Device\CdRom0 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) Device \Driver\Cdrom \Device\CdRom0 8A743008 Device \FileSystem\Rdbss \Device\FsWrap 8A2A7E18 Device \Driver\Cdrom \Device\CdRom1 OsaFsLoc.sys (Filesystem Lock driver/OSA Technologies) Device \Driver\Cdrom \Device\CdRom1 8A743008 Device \Driver\Ftdisk \Device\HarddiskVolume3 8A9181D8 Device \Driver\atapi \Device\Ide\IdePort0 8A78B008 Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-3 8A78B008 Device \Driver\atapi \Device\Ide\IdePort1 8A78B008 Device \Driver\atapi \Device\Ide\IdeDeviceP1T0L0-e 8A78B008 Device \Driver\USBSTOR \Device\000000c2 88A056E0 Device \Driver\NetBT \Device\NetBt_Wins_Export 8A3A5980 Device \Driver\USBSTOR \Device\000000c3 88A056E0 Device \Driver\NetBT \Device\NetbiosSmb 8A3A5980 Device \FileSystem\Srv \Device\LanmanServer 8A4A7250 AttachedDevice \Driver\Tcpip \Device\Udp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) AttachedDevice \Driver\Tcpip \Device\RawIp kl1.sys (Kaspersky Unified Driver/Kaspersky Lab) Device \Driver\usbuhci \Device\USBFDO-0 8A7241D8 Device \Driver\NetBT \Device\NetBT_Tcpip_{9B0F382D-04DB-4991-8611-3010DB07AD70} 8A3A5980 Device \Driver\usbuhci \Device\USBFDO-1 8A7241D8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 897201D8 Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 8985F370 Device \Driver\usbuhci \Device\USBFDO-2 8A7241D8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 897201D8 Device \FileSystem\MRxSmb \Device\LanmanRedirector 8985F370 Device \Driver\usbuhci \Device\USBFDO-3 8A7241D8 Device \FileSystem\Npfs \Device\NamedPipe 89BFBE58 Device \Driver\Ftdisk \Device\FtControl 8A9181D8 Device \Driver\usbehci \Device\USBFDO-4 8A6F7980 Device \FileSystem\Msfs \Device\Mailslot 8A316C88 Device \Driver\d346prt \Device\Scsi\d346prt1Port2Path0Target0Lun0 88A6A118 Device \Driver\d346prt \Device\Scsi\d346prt1 88A6A118 Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer 8A6F40E0 Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer 8A6F40E0 Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer 8A6F40E0 Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer 8A6F40E0 Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer 8A6F40E0 Device \FileSystem\Cdfs \Cdfs 88F95848 Device \FileSystem\Cdfs \Cdfs 8A57A358 ---- Modules - GMER 1.0.15 ---- Module _________ BA5D6000-BA5EE000 (98304 bytes) ---- Registry - GMER 1.0.15 ---- Reg HKLM\SYSTEM\CurrentControlSet\Services\d346prt\Cfg\0Jf40 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1108961956 Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 2130347151 Reg HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{56CA5D3B-3002-4E7B-90FE-071D8FDF3814}@DisplayName DAEMON Tools Reg HKLM\SOFTWARE\Classes\Installer\Products\B3D5AC652003B7E409EF70D1F8FD8341@ProductName DAEMON Tools ---- EOF - GMER 1.0.15 ---- Danke im Voraus für die Hilfe!  |
|
13.10.2009, 21:35
| #6 | |
| /// Helfer-Team | Bitte um Hilfe - Trojaner gefunden! Moin baerliner, Erstelle bitte noch ein RSIT-Logfile: http://www.trojaner-board.de/74910-a...tion-tool.html (Wegen dem neuen Zeugs) Anleitung Avenger (by swandog46) Lade dir das Tool Hopsassa und speichere es auf dem Desktop:
Code:
ATTFilter files to delete:
C:\WINDOWS\system32\servises.exe
Zitat:
Im "normalen" geht das auch... Viel Erfolg Gruß Handball10
__________________ --> Bitte um Hilfe - Trojaner gefunden! |
|
14.10.2009, 10:45
| #7 |
| | Bitte um Hilfe - Trojaner gefunden! Moin Moin, um das neu aufsetzten meines Systems komm ich wohl nicht herum ??? Ich habe im Tool Hopsassa den Script "C:\WINDOWS\system32\servises.exe" eingefügt. Sobald ich auf Execute drücke kommt folgende Fehlermeldung: "Error invalid Script. A valid Script must begin with a command directive. Aborting excecution!" Wenn ich DrWeb starte kommt folgende Fehlermeldung: "59ys5t.exe hat ein Problem festgestellt und muss beendet werden." RSIT-Logfile: der Logfile überschreitet die zulässige Zeichenmenge für einen Post... ich habe den Log hochgeladen. |
|
14.10.2009, 14:04
| #8 | ||||
| /// Helfer-Team | Bitte um Hilfe - Trojaner gefunden! moin baerliner, Zitat:
Zitat:
Das hier: Code:
ATTFilter C:\WINDOWS\system32\servises.exe
Code:
ATTFilter files to delete:
C:\WINDOWS\system32\servises.exe
Zitat:
Code:
ATTFilter files to delete:
C:\WINDOWS\system32\servises.exe
Zitat:
Gruß Handball10
__________________ Lustige Rechtschreibfehler des Trojanischen Pferdes "Trojan.Win32.FraudPack.ajn" Lustige Rechtschreibfehler von "XP Deluxe Protector" - Neu !! |
|
14.10.2009, 14:12
| #9 |
| | Bitte um Hilfe - Trojaner gefunden! Zitat: der Logfile überschreitet die zulässige Zeichenmenge für einen Post... ich habe den Log hochgeladen. Wo hast du es denn hochgeladen ? ich habe die datei so hochgeladen wie zuletzt die anderen dateien... |
|
14.10.2009, 14:25
| #10 |
| /// Helfer-Team | Bitte um Hilfe - Trojaner gefunden! Passt schon... Du hattest die Datei im Upload-Channel hochgeladen. Jemand anderes vom Team war so freundlich und hat mir die Datei zukommen lassen  Der Upload-Channel soll nur für schädliche Dateien genutzt werden. Zu dem Logfile: Es wird immer schlimmer! Bin grad am Durchschauen - dort verbirgt sich noch mehr, als wir bisher sehen konnten! Ergebnis kommt bald. Gruß Handball10
__________________ Lustige Rechtschreibfehler des Trojanischen Pferdes "Trojan.Win32.FraudPack.ajn" Lustige Rechtschreibfehler von "XP Deluxe Protector" - Neu !! |
|
14.10.2009, 15:18
| #11 |
| /// Helfer-Team | Bitte um Hilfe - Trojaner gefunden! so... Code:
ATTFilter [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PopRock]
C:\DOKUME~1\Stefan\LOKALE~1\Temp\b.exe [2009-10-11 154624]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
"msxml193"=C:\WINDOWS\system32\msxm193z.dll [2009-10-11 28672]
[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Security Center]
C:\WINDOWS\sc.exe [2009-10-11 364032]
[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"C:\WINDOWS\system32\Systems.exe"="C:\WINDOWS\system32\Systems.exe:*:Enabled:KeyLog"
"C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\svvchst32.exe"="C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\svvchst32.exe:*:Enabled:JDrun"
"\??\C:\WINDOWS\system32\winlogon.exe"="\??\C:\WINDOWS\system32\winlogon.exe:*:enabled:@shell32.dll,-1"
"C:\WINDOWS\Temp\VRTE.tmp"="C:\WINDOWS\Temp\VRTE.tmp:*:Enabled:installer"
"C:\WINDOWS\fonts\services.exe"="C:\WINDOWS\fonts\services.exe:*:Enabled:services.exe"
======List of files/folders created in the last 1 months======
2009-10-11 08:22:54 ----A---- C:\WINDOWS\system32\msxm193z.dll
2009-10-11 08:22:28 ----D---- C:\Programme\Protection System
2009-10-11 08:22:28 ----A---- C:\WINDOWS\sc.exe
2009-10-11 08:22:11 ----A---- C:\WINDOWS\system32\9.tmp
2009-10-11 08:22:10 ----A---- C:\WINDOWS\system32\8.tmp
2009-10-10 12:55:24 ----D---- C:\WINDOWS\system32\Systems
2009-10-10 12:55:24 ----A---- C:\WINDOWS\system32\IJL10.DLL
2009-10-10 12:38:16 ----D---- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hostsvr
2009-10-10 12:38:13 ----D---- C:\WINDOWS\hostsvr
2009-09-18 22:41:43 ----N---- C:\WINDOWS\system32\msxml3a.dll
==============================================================
 Deine Freunde haben es in sich und die Infektion ist schon mehr als einen Monat her! Bitte lade folgende Dateien im Upload-Channel hoch: Code:
ATTFilter C:\WINDOWS\system32\8.tmp
C:\WINDOWS\system32\msxml3a.dll
C:\WINDOWS\system32\9.tmp
C:\WINDOWS\sc.exe
C:\WINDOWS\fonts\services.exe
C:\WINDOWS\system32\Systems.exe
C:\Dokumente und Einstellungen\Stefan\Lokale Einstellungen\Temp\svvchst32.exe
C:\WINDOWS\Temp\VRTE.tmp
C:\WINDOWS\system32\winlogon.exe → kommt mir suspekt vor, da dies nicht normal ist, dass sie durch die Firewall darf...
Code:
ATTFilter C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hostsvr
C:\WINDOWS\hostsvr
Daraufhin erscheint im selben Verzeichnis eine Date namens "List.txt". Deren Inhalt bitte hier posten. Falls was nicht funktionieren sollte, sag bitte bescheid. Viel Erfolg
__________________ Lustige Rechtschreibfehler des Trojanischen Pferdes "Trojan.Win32.FraudPack.ajn" Lustige Rechtschreibfehler von "XP Deluxe Protector" - Neu !! |
|
14.10.2009, 15:55
| #12 |
| | Bitte um Hilfe - Trojaner gefunden! also die von dir genannten dateien lade ich morgen, wie zuletzt, hoch... "Lade dir dazu bitte die Datei (list.bat) im Anhang herunter und führe sie aus. Daraufhin erscheint im selben Verzeichnis eine Date namens "List.txt". Deren Inhalt bitte hier posten. Falls was nicht funktionieren sollte, sag bitte bescheid." leider kann ich dir "list.bat" nicht ausführen. es erscheint ein kurzer schwarzer bildschirm (wie bei dos) und schließt sofort wieder. |
|
14.10.2009, 17:28
| #13 | |
| /// Helfer-Team | Bitte um Hilfe - Trojaner gefunden!Zitat:
Jetzt müsste dort, wo auch die List.bat-Datei liegt eine Datei namens List.txt vorhanden sein. Schau mal nach  Gruß Handball10
__________________ Lustige Rechtschreibfehler des Trojanischen Pferdes "Trojan.Win32.FraudPack.ajn" Lustige Rechtschreibfehler von "XP Deluxe Protector" - Neu !! |
|
14.10.2009, 20:12
| #14 |
| | Bitte um Hilfe - Trojaner gefunden! :-) achja hab ich glatt übersehen ... also hier der log: Inhalt von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hostsvr ---------------------------------------------------------------------- Inhalt von C:\WINDOWS\hostsvr Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1822-8F3A Verzeichnis von C:\WINDOWS\hostsvr 10.10.2009 14:18 <DIR> . 10.10.2009 14:18 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 8.483.803.136 Bytes frei ---------------------------------------------------------------------- Inhalt von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hostsvr ---------------------------------------------------------------------- Inhalt von C:\WINDOWS\hostsvr Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1822-8F3A Verzeichnis von C:\WINDOWS\hostsvr 10.10.2009 14:18 <DIR> . 10.10.2009 14:18 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 8.457.629.696 Bytes frei ---------------------------------------------------------------------- Inhalt von C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hostsvr ---------------------------------------------------------------------- Inhalt von C:\WINDOWS\hostsvr Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: 1822-8F3A Verzeichnis von C:\WINDOWS\hostsvr 10.10.2009 14:18 <DIR> . 10.10.2009 14:18 <DIR> .. 0 Datei(en) 0 Bytes 2 Verzeichnis(se), 8.472.875.008 Bytes frei ---------------------------------------------------------------------- |
|
14.10.2009, 20:14
| #15 |
| /// Helfer-Team | Bitte um Hilfe - Trojaner gefunden! OK... wenn du grade Zeit hast , kannst du ja die Dateien hochladen. Dann wüssten wir schneller was genau los ist... Gruß Handball10
__________________ Lustige Rechtschreibfehler des Trojanischen Pferdes "Trojan.Win32.FraudPack.ajn" Lustige Rechtschreibfehler von "XP Deluxe Protector" - Neu !! |
|
| Themen zu Bitte um Hilfe - Trojaner gefunden! |
| babylon, bho, bitte um hilfe, bonjour, canon, cpu, excel, firefox, hijack, hijackthis, hkus\s-1-5-18, internet, internet explorer, internet security, kaspersky, magix, mein log, mozilla, plug-in, prozesse, realtek, registry, rojaner gefunden, rundll, schutz, security, senden, software, solution, system, trojaner, trojaner gefunden, viele prozesse, windows, windows xp |
Linear-Darstellung
