|
Trojaner im Recycler und Logfile Als Neuling in der Runde wollt ich mal ein freundliche sHallo in die Runde schicken! ...und euch natürlich gleich mal um Hilfe bitten. Was PC-Technik und PC-Sicherheit angeht, hab ich mich bischer immer als "Poweruser" bezeichnet, aber nu ist das wohl doch anders...;-) Bei uns laufen täglich verschieden Scanner über die Platte (SpySweeper, A-Squared, eScan/mwav, Ad-Aware/Lavasoft und SpyBot), Spybot und Spysweeper auch mit ihren resistenten Parts und Antivir natürlich auch noch. War bisher die preisgünstigste und wie ich fand auch sicherste Methode. Doch heut gabs eine Meldung von eScan, dass wir einen Trojaner auf der Maschine haben und zwar im Recycled-Ordner/Mülleimer. Dieser ist aber weder dort zu finden noch durch Leeren des Mülleimers zu entfernen. Ich hoffe, Ihr könnt mir bei dieser "Herausforderung" helfen. eScan Meldung und HijackThis-Log wie folgt: eScan: File C:\Recycled\Q330995.exe infected by "Trojan-Downloader.Win32.Agent.ew" Virus. Action Taken: No Action Taken. HijackThis-Log : StartupList report, 27.12.2004, 21:58:22 StartupList version: 1.52.2 Started from : C:\basis\HijackThis.EXE Detected: Windows XP SP1 (WinNT 5.01.2600) Detected: Internet Explorer v6.00 SP1 (6.00.2800.1106) * Using default options * Showing rarely important sections ================================================== Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe d:\Programme\Kerio\Personal Firewall\persfw.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\CpuIdle\cpuidle.exe D:\Programme\D-Tools\daemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\taskmgr.exe F:\emule\emule.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE d:\Programme\Winamp\Winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\PROGRA~1\MICROS~1\Office10\OUTLOOK.EXE D:\Programme\Microsoft Office\Office10\WINWORD.EXE C:\WINDOWS\msagent\AgentSvr.exe C:\basis\HijackThis.exe -------------------------------------------------- Checking Windows NT UserInit: [HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] UserInit = C:\WINDOWS\system32\userinit.exe, -------------------------------------------------- Autorun entries from Registry: HKLM\Software\Microsoft\Windows\CurrentVersion\Run CpuIdle = D:\Programme\CpuIdle\cpuidle.exe DAEMON Tools-1033 = "D:\Programme\D-Tools\daemon.exe" -lang 1033 AVGCtrl = C:\Programme\AVPersonal\AVGNT.EXE /min -------------------------------------------------- Autorun entries from Registry: HKCU\Software\Microsoft\Windows\CurrentVersion\Run CTFMON.EXE = C:\WINDOWS\System32\ctfmon.exe SpybotSD TeaTimer = D:\Programme\Spybot - Search & Destroy\TeaTimer.exe -------------------------------------------------- Enumerating Active Setup stub paths: HKLM\Software\Microsoft\Active Setup\Installed Components (* = disabled by HKCU twin) [>{22d6f312-b0f6-11d0-94ab-0080c74c7e95}] StubPath = C:\WINDOWS\inf\unregmp2.exe /ShowWMP [>{26923b43-4d38-484f-9b9e-de460746276c}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigIE [>{881dd1c5-3dcf-431b-b061-f3f88e8be88a}] * StubPath = %systemroot%\system32\shmgrate.exe OCInstallUserConfigOE [{2C7339CF-2B09-4501-B3F3-F3508C9228ED}] * StubPath = %SystemRoot%\system32\regsvr32.exe /s /n /i:/UserInstall %SystemRoot%\system32\themeui.dll [{44BBA840-CC51-11CF-AAFA-00AA00B6015C}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:OE /CALLER:WINNT /user /install [{7790769C-0471-11d2-AF11-00C04FA35D02}] * StubPath = "%ProgramFiles%\Outlook Express\setup50.exe" /APP:WAB /CALLER:WINNT /user /install [{89820200-ECBD-11cf-8B85-00AA005B4340}] * StubPath = regsvr32.exe /s /n /i:U shell32.dll [{89820200-ECBD-11cf-8B85-00AA005B4383}] * StubPath = %SystemRoot%\system32\ie4uinit.exe -------------------------------------------------- Shell & screensaver key from C:\WINDOWS\SYSTEM.INI: Shell=*INI section not found* SCRNSAVE.EXE=*INI section not found* drivers=*INI section not found* Shell & screensaver key from Registry: Shell=Explorer.exe SCRNSAVE.EXE=C:\WINDOWS\System32\logon.scr drivers=*Registry value not found* Policies Shell key: HKCU\..\Policies: Shell=*Registry key not found* HKLM\..\Policies: Shell=*Registry value not found* -------------------------------------------------- Checking for EXPLORER.EXE instances: C:\WINDOWS\Explorer.exe: PRESENT! C:\Explorer.exe: not present C:\WINDOWS\Explorer\Explorer.exe: not present C:\WINDOWS\System\Explorer.exe: not present C:\WINDOWS\System32\Explorer.exe: not present C:\WINDOWS\Command\Explorer.exe: not present C:\WINDOWS\Fonts\Explorer.exe: not present -------------------------------------------------- Checking for superhidden extensions: .lnk: HIDDEN! (arrow overlay: yes) .pif: HIDDEN! (arrow overlay: yes) .exe: not hidden .com: not hidden .bat: not hidden .hta: not hidden .scr: not hidden .shs: HIDDEN! .shb: HIDDEN! .vbs: not hidden .vbe: not hidden .wsh: not hidden .scf: HIDDEN! (arrow overlay: NO!) .url: HIDDEN! (arrow overlay: yes) .js: not hidden .jse: not hidden -------------------------------------------------- Enumerating Browser Helper Objects: (no name) - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} (no name) - C:\Programme\IE URL Spoofing Patch\IEWorkaround3.dll - {08442457-929D-4522-AE24-9D3E4664A0C1} (no name) - D:\PROGRA~1\SPYBOT~1\SDHelper.dll - {53707962-6F74-2D53-2644-206D7942484F} -------------------------------------------------- Enumerating Windows NT/2000/XP services Umgebung für die AFD-Netzwerkunterstützung: \SystemRoot\System32\drivers\afd.sys (autostart) AntiVir Service: C:\Programme\AVPersonal\AVGUARD.EXE (autostart) Ati HotKey Poller: %SystemRoot%\System32\Ati2evxx.exe (autostart) ATI Smart: C:\WINDOWS\system32\ati2sgag.exe (autostart) Windows Audio: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Kryptografiedienste: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Verwaltung logischer Datenträger: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) DNS-Client: %SystemRoot%\System32\svchost.exe -k NetworkService (autostart) Ereignisprotokoll: %SystemRoot%\system32\services.exe (autostart) Kerio Personal Firewall: "d:\Programme\Kerio\Personal Firewall\persfw.exe" (autostart) Plug & Play: %SystemRoot%\system32\services.exe (autostart) Geschützter Speicher: %SystemRoot%\system32\lsass.exe (autostart) Remoteprozeduraufruf (RPC): %SystemRoot%\system32\svchost -k rpcss (autostart) Sicherheitskontenverwaltung: %SystemRoot%\system32\lsass.exe (autostart) Systemereignisbenachrichtigung: %SystemRoot%\system32\svchost.exe -k netsvcs (autostart) Shellhardwareerkennung: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Druckwarteschlange: %SystemRoot%\system32\spoolsv.exe (autostart) Systemwiederherstellungsdienst: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) StyleXPService: "C:\Programme\TGTSoft\StyleXP\StyleXPService.exe" (autostart) Designs: %SystemRoot%\System32\svchost.exe -k netsvcs (autostart) Webclient: %SystemRoot%\System32\svchost.exe -k LocalService (autostart) Windows-Verwaltungsinstrumentation: %systemroot%\system32\svchost.exe -k netsvcs (autostart) -------------------------------------------------- Enumerating ShellServiceObjectDelayLoad items: PostBootReminder: C:\WINDOWS\system32\SHELL32.dll CDBurn: C:\WINDOWS\system32\SHELL32.dll SysTray: C:\WINDOWS\System32\stobject.dll -------------------------------------------------- End of report, 7.822 bytes Report generated in 0,100 seconds Vielen Dank für eure Unterstützung Gruß Paranoid3000 |
...sorry, das hat ich hier noch vergessen.... Logfile of HijackThis v1.99.0 Scan saved at 22:06:47, on 27.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\svchost.exe d:\Programme\Kerio\Personal Firewall\persfw.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE D:\Programme\CpuIdle\cpuidle.exe D:\Programme\D-Tools\daemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe D:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\System32\taskmgr.exe F:\emule\emule.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE d:\Programme\Winamp\Winamp.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\basis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.de/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IEWorkaround Class - {08442457-929D-4522-AE24-9D3E4664A0C1} - C:\Programme\IE URL Spoofing Patch\IEWorkaround3.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [CpuIdle] D:\Programme\CpuIdle\cpuidle.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000 O17 - HKLM\System\CCS\Services\Tcpip\..\{21B7BD64-CEB7-47C1-ACEF-3CC2662083CC}: NameServer = 217.237.151.33 217.237.149.225 O17 - HKLM\System\CS1\Services\Tcpip\..\{21B7BD64-CEB7-47C1-ACEF-3CC2662083CC}: NameServer = 217.237.151.33 217.237.149.225 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Kerio Personal Firewall - Kerio Technologies - d:\Programme\Kerio\Personal Firewall\persfw.exe O23 - Service: StyleXPService - Unknown - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe gruß Paranoid3000 |
Hallo, dein Log-File ansich ist sauber. Mach mal folgendes: Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Navigiere zum Ordner File C:\Recycled und überprüfe nochmals, ob die Datei vorhanden ist. |
Hallo Cidre, vielen Dank für die schnelle Bestätigung, dass meine Logs clean sind. Windowseinstellungen hatte ich schon so eingestellt, dass ich "alle Dateine sehen kann". ;-) Trotzdem will diese Datei aus dem Mülleimer nicht erscheinen. Hab schon probiert den Mülleimer auf 0% zu setzen, damit er wirklich leer ist, aber leider ohne Erfolg. eScan meldet leider immer noch den Trojaner und Kaspersky's onlinescanner auch. :-( Kaspersky onlinecheck: Zu überprüfende Datei: Q330995.exe Q330995.exe - packed with FSG Q330995.exe Infiziert: Trojan-Downloader.Win32.Agent.ew Statistiken: Bekannte Viren: 113003 Updated: 27-12-2004 Größe der Datei (Kb): 25 Viren-Korpus: 1 Datei: 2 Warnungen: 0 Archive: 0 Verdächtigt: 0 Bin echt etwas ratlos...... Gruß Paranoid |
Lösche jetzt den Ordner C:\Recycled und starte dein System neu. Danach sollte dieser Trojan-Downloader.Win32.Agent.ew entfernt sein. btw: Keine Angst, der Ordner C:\Recycled wird beim Systemstart automatisch wieder neu erstellt. |
Hallo Cidre, ich hatte, bevor ich hier gepostet habe schon einige threads gelesen und der Trick mit dem löschen des Mülleimers funktioniert bei mir nicht. Kommt eine Windows-Fehlermeldung, dass Recycled nicht gelöscht werden kann, da sie verwendet wird (Kurzform der Originalmeldung). Hab auch schon probiert den Mülleimer in abgesicherten Modus zu löschen...leider erfolglos. Hab es jetzt gerade ganz banal mittels Dos geschafft. Jetzt sind, wenn ich "dir c:\recycled /a" ausführe noch zwei Dateien vorhanden: desktop.ini und info2 Kannst du mal bitte checken, ob die bei dir auch vorhanden sind. Dank und Gruß Paranoid |
Zitat:
|
Hi Cidre! Prima, dann bin ich erstmal wieder frei von dem ganzen Ungeziefer und kann beruhigt schlafen gehen. ;-) Vielen Dank nochmal Gruß Paranoid |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:16 Uhr. |
Copyright ©2000-2025, Trojaner-Board