Trojaner-Board - Serwab, Winantivirus2006

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Serwab, Winantivirus2006 (https://www.trojaner-board.de/30930-serwab-winantivirus2006.html)

Serwab, Winantivirus2006

Ich hatte in letzter zeit immer öfter plötzliche window die mich auf seiten wie w*w.aenima.com zum Winantivirus2006 pro oder diese seite verlinken (h**p://de.winantivirus.com/download/...jan&ax=2&ex=1). Vorher sind da immer noch IE-Meldungen, dass Sicherheitsfehler im system sind und dass ich die verlinkte software einfach laden soll (hab ich natürlich nich gemacht), irgendwelche Sicherheitsdienste von .Serwab. Öffnet sich auf der Seite sogar ab und zu direkt ein downloadfenster. Reichts. Ich benutze Windows XP professional Edition...

Hier mal mein HijackThis log:

Logfile of HijackThis v1.99.1
Scan saved at 15:55:37, on 27.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\WINDOWS\stsystra.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\Programme\Java\j2re1.4.2_03\bin\jucheck.exe
C:\Programme\Dell\Media Experience\DMXLauncher.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Dokumente und Einstellungen\ricochet\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://***/login.asp
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/de...=de&l=de&s=gen
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Programme\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [BuildBU] c:\dell\bldbubg.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Programme\McAfee\SpamKiller\MSKDetct.exe /uninstall
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\ricochet\Desktop\hijackthis_199\HijackThis.exe /startupscan
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: OKI LPR Utility.lnk = C:\Programme\Okidata\OKI LPR Utility\okilpr.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{5EC57748-65A2-4212-83DC-8A1042E370BE}: NameServer = ***,***
O18 - Filter: application/x-internet-signup - {A173B69A-1F9B-4823-9FDA-412F641E65D6} - C:\Programme\Tiscali\Tiscali Internet\dlls\tiscalifilter.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: C-DillaSrv - C-Dilla Ltd - C:\WINDOWS\system32\DRIVERS\CDANTSRV.EXE
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: eTrust Antivirus-RPC-Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus-Echtzeitserver (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus-Jobserver (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Ihr habt solche Probleme bestimmt schon öfters behandelt, aber ich konnte einfach keinen thread finden, der mir ähnlich war und der mir weitergeholfen hätte. Also schonmal danke im Voraus und entschuldigung, falls ich die Lösung des problems im Forum einfach nicht gefunden habe...

@wischnja,

Hallo,

als erstes solltest du alle noch aktiven Links editieren, so wie es in den "Nutzungsbedingungen" definiert ist ;)

Führe folgende Schritt durch:

1.) Scanne dein System mit eScan, poste anschliessend das Ergebnis mit Hilfe der "find.bat"

2.) Scanne dein System mit F-Secure Blacklight, poste auch hier anschliessend den Report

Gruß ;)
Daniel

Kleine Ergänzung:

Zitat:

C:\Programme\Java\j2re1.4.2_03\bin\npjpi142_03.dll

Diese Java-Version ist URALT!
Ich bin mir nicht sicher, aber gehört Winantivirus nicht zu dieser Smitfraud/Zlob-Geschichte?

Zitat:

Zitat von cosinus

aber gehört Winantivirus nicht zu dieser Smitfraud/Zlob-Geschichte?

Meines Wissens, JA!

Da aber keine Einträge in Verbindung stehen mit Winantivirus 2006, will ich erstmal sehen was eScan sagt ;) bzw. ich denke nicht das er Winantivirus über das Pop-Up installiert hat... :blabla:

Hallo,

das habe ich leider zu spät gelesen: Achtung:
Es ist zwingend notwendig, daß die Sprache 'Englisch' bei der aktuellen Version eingestellt wird, da sonst die Find.bat nicht mehr funktioniert!

Hab als Deutsch instalert, wie kriege ich jetzt diesen "find.bat"??

Zitat:

Zitat von wischnja

Hallo,

das habe ich leider zu spät gelesen: Achtung:
Es ist zwingend notwendig, daß die Sprache 'Englisch' bei der aktuellen Version eingestellt wird, da sonst die Find.bat nicht mehr funktioniert!
Hab als Deutsch instalert, wie kriege ich jetzt diesen "find.bat"??

Hat eScan denn viele Funde? Dann kopier das mal manuell hierrein...
Oder sende mir das große Logfile mwav.log in c:\bases_x per e-Mail und schau es mir an. Mail an cosinus

A, ja , danke, hier das kleine liste:

Object "gain.gator Spyware/Adware" in Dateisystem gefunden!

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Datei C:\Dokumente und Einstellungen\ricochet\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\dmnrh7im.default\Cache\955FA9C6d01 markiert als not-a-virus:Downloader.Win32.WinFixer.f. Keine Aktion vorgenommen.

Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003245.sys infiziert von "Trojan.Win32.Agent.ny" Virus. Aktion vorgenommen: Datei gelöscht.

Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003246.exe infiziert von "Trojan.Win32.Agent.ny" Virus. Aktion vorgenommen: Datei gelöscht.

Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003247.exe infiziert von "Trojan.Win32.Agent.ny" Virus. Aktion vorgenommen: Datei gelöscht.

Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003248.exe infiziert von "Trojan.Win32.Agent.ny" Virus. Aktion vorgenommen: Datei gelöscht.

Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003251.dll infiziert von "Trojan.Win32.Agent.vg" Virus. Aktion vorgenommen: Datei gelöscht.

Datei C:\System Volume Information\_restore{DF867C4F-0E0D-4E20-9F25-BC2B2DFBD84A}\RP48\A0003252.dll infiziert von "Trojan-Spy.Win32.VBStat.d" Virus. Aktion vorgenommen: Datei wird beim Neustart gelöscht.

Datei C:\WINDOWS\Temp\win12.tmp.exe infiziert von "Trojan-Downloader.Win32.PurityScan.cq" Virus. Aktion vorgenommen: Datei gelöscht.
Datei C:\WINDOWS\Temp\win4B.tmp.exe infiziert von "Trojan-Downloader.Win32.Small.cvw" Virus. Aktion vorgenommen: Datei gelöscht.

mOIn wischnja,
im Firefox unter Extras -- Einstellungen -- Datenschutz -- Cache -- Cache löschen, dann Systemwiderherstellung deaktivieren
http://service1.symantec.com/SUPPORT...30807105707924
neustarten Systemwiderherstellung wieder aktivieren
erneut prüfen und berichten
MFG

SUUPER!
Ja das hat geklapt, zu mindestens beim typischen fortgehen taucht es nich wider auf! Scauen wir weiter und bis da hin Danke, Danke, wirklich tolelles Forum udd Leute da!!

Schöne Wochenende

MAx

((( zu früh gefreut ((( ich musste es ahnen (((

Trotzdem ein schönes wochenende ...

mOIn
wo werden den jetzt noch sachen gefunden?
(Quarantäne Ordner? --> inhalt löschen)
MFG

Vielleicht hilft Dir diese Anleitung weiter?

Hallo wischnja,

versuche folgendes:
Lade Dir clearprog 1.4.1 final.
Programm starten-> Häkchen bei alles Löschen und auf löschen klicken.
Desweiteren lade Dir Smitfraudfix und gehe wie unter "Reinigung" beschrieben vor.
Poste ansch. ein neues HJT-Logfile und den Inhalt der "C:\rapport.txt".

dartus

Ich denke mal, dass das übrig geblieben ist:
Datei C:\Dokumente und Einstellungen\ricochet\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Prof iles\dmnrh7im.default\Cache\955FA9C6d01 markiert als not-a-virus:Downloader.Win32.WinFixer.f. Keine Aktion vorgenommen.

ich habe auch diese Probleme.
Der Antivirus Programm (Kaspersky Internet Security 6.0) hat den Trojan "win32.agent.ny" letzte Monate gefunden, ich habe ihn entfernt, aber er ist zurückgekommen... Dann habe ich er mit a-squared free entfernt aber es ist auch zurückgekommen.
Jetzt mein Antivirus, a-squared und Spybot; seek n destroy haben nichts gefunden. Aber ich immer habe diese popups...
Ich habe auch den Temporary Internet Files und Cookies gelöscht.

Entschuldigung, ich spreche noch nicht gut Deutsch :crazy:

hier ist die hijackthis log:

Logfile of HijackThis v1.99.1
Scan saved at 23:26:30, on 07.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\sm56hlpr.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
D:\PROGRA~1\AD-AWA~1\Ad-Watch.exe
D:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
D:\Programme\ICQ\Icq.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\rundll32.exe
D:\Programme\Opera\Opera.exe
d:\Eigene Dateien\Install\HijackThis.exe

O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O1 - Hosts: 66.98.136.25 auto.search.msn.com
O1 - Hosts: 66.98.136.25 auto.search.msn.es
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SMSERIAL] sm56hlpr.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [IAAnotif] C:\Programme\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [AWMON] "D:\PROGRA~1\AD-AWA~1\Ad-Watch.exe"
O4 - HKLM\..\Run: [kis] "d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe"
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Add to Kaspersky Anti-Banner - d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\\ie_banner_deny.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{8BDEE97C-1071-4C1D-8BDD-5BA9F768B1B3}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E76CD4EC-4723-4097-B98B-ED0C5A030C7E}: NameServer = 192.168.1.1
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - d:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing)
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Programme\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Vielen Dank