Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Großes problem!!!! (https://www.trojaner-board.de/34387-grosses-problem.html)

Dragon4 13.12.2006 17:52

Großes problem!!!!
 
Ich habe ein großes problem. unzwar habe ich durch meine Clanseite mir einen virus eingefange, der aber soweit gegangen ist das mein antivir und antispyware programm mir die dateien beim scannen zwar anzeigen aber diese dateien nicht mehr als Virus oder spyware erkennen. Vorher hat mir mein Antivir den Virus Trojan.PSW.Agent.CK gezeigt der angeblicht gelöscht wurde. Wie es aussieht aber nicht wirklich!!!

Was soll ich tun kann mir einer helfen??

Mein hijackthis:

Edit/

Logfile of HijackThis v1.99.1
Scan saved at 18:04:37, on 13.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AGEIA Technologies\TrayIcon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\nvraidservice.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\HybridTM_IR(A)\RC620_A.exe
H:\Programme\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\svchost.exe
h:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Steffi\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page h**p://google.icq.com]ICQ.com Search Results
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [h**p://www.google.de/]Google
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AGEIA PhysX SysTray] C:\Programme\AGEIA Technologies\TrayIcon.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [HybridTM_A] C:\Programme\HybridTM_IR(A)\RC620_A.exe
O4 - HKLM\..\Run: [DAEMON Tools] "h:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {BE833F39-1E0C-468C-BA70-25AAEE55775E} (System Requirements Lab) - h**p://www.systemrequirementslab.com/sysreqlab.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVG Anti-Spyware Guard - Unknown owner - H:\AVG Anti-Spyware 7.5\guard.exe (file missing)
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe




Hoffe das ich den scann richtig durchgeführt habe!!! Nicht das ich ihn in irgendwelchen abgesciherten modus durchführen muss oder sowas ähnliches.


Danke Dragon4

Sunny 13.12.2006 18:00

Hallo.

Bitte editiere deinen Beitrag nochmalm und erstell ein neues Hijacklog.
Es fehlt nämlich der gesamte Kopf des Logfiles, da sind die Angaben zum Betriebssystem bzw. Patchstand deines Systems!

Und du kannst mir gleich mal sagen ob du das hier kennst:

Zitat:

O4 - HKLM\..\Run: [HybridTM_A] C:\Programme\HybridTM_IR(A)\RC620_A.exe
Gruß
Sunny

Dragon4 13.12.2006 18:03

Ok schon gefunden mein fehler edit/

Das programm gehört zu meinen DVB-T ein tool , was aber nicht wirklich für meins war. bekomme das programm aber net mehr runter!!

Sunny 13.12.2006 18:32

Zitat:

Hoffe das ich den scann richtig durchgeführt habe!!! Nicht das ich ihn in irgendwelchen abgesciherten modus durchführen muss oder sowas ähnliches.
Jetzt hast du den Scan richtig durchgeführt, aber dafür sind jetzt die LINK´s in deinem Logfile AKTIV ;). Also bitte nochmal editieren und http z.B. h**p änderen, sowie [url] entfernen vor dem Link.

Ansonsten müsste ich wissen wo Antivir den besagten Trojaner gefunden hat:
Zitat:

Trojan.PSW.Agent.CK

Sieh im letzten Report von Antivir nach, und poste den genauen Pfad bzw. Verzeichnis welches betroffen ist/war!

Dein Hijacklog ist meiner Ansicht nach clean, bis auf diesen DVB-T Treiber/Software. Aber dazu kommen wir später.

Gruß

Dragon4 13.12.2006 18:37

Was vergessen als erstes wurde mir ein selstsame HTML Script gefunden :

C:\Dokumente und Einstellungen\Steffi\Lokale Einstellungen\Temporary Internet Files\Content.IE5\I1K3M56P\mm[1].htm
[FUND] Enthält Signatur des HTML-Scriptvirus HTML/Dldr.Delf.A.3
[INFO] Die Datei wurde gelöscht

Und dnach der andere Virus ebenfalls unter C: . Wo genau weis ich nicht mehr. den Bericht zeigt er mir nicht mehr an!!!

Und mein Virenprogramm updatet auf einmal nicht mehr!!!

Sunny 13.12.2006 19:09

Dann überprüfe mal dein System mit eScan -> Anleitung gibts hier

Poste dann das Ergebnis mit Hilfe der find.bat, daher bitte genau die Anleitung durchlesen und umsetzen. ;)

Gruß
Sunny

Dragon4 18.12.2006 19:13

Sorry für die verspätete Meldung aber ich musste viel arbeiten ^^ Hoffe das ihr das agzeptiert!!


Also habe mit escan durchlaufen lassen. mein college der sich mit dem teil gut auskennt ( hilf auch anderen in anderen Foren ) sagte mir das alles in ordnung ist . war an dem Tag nicht da , deswegen hat er das gemacht!!!

habe dann andere verschiedene Programme durchlaufen lassen :

Spywaredoctor : Trojan.PSW.Agent.CK
Bitdefender : Trojan.Clicker.HTML.lframe.W <-- Desinfektion fehlgeschlagen
MCAFEE : JS/Joke-Shake <-- wasn das?? Will mich da einer Ärgern??
IE Windows Popper

So der Rest kommt später!!! Muss noch einige durchlaufen lassen!!!

Dragon4 19.12.2006 21:07

[QUOTE=Dragon4;244639]Sorry für die verspätete Meldung aber ich musste viel arbeiten ^^ Hoffe das ihr das agzeptiert!!


Also habe mit escan durchlaufen lassen. mein college der sich mit dem teil gut auskennt ( hilf auch anderen in anderen Foren ) sagte mir das alles in ordnung ist . war an dem Tag nicht da , deswegen hat er das gemacht!!!

habe dann andere verschiedene Programme durchlaufen lassen :

Spywaredoctor : Trojan.PSW.Agent.CK
Bitdefender : Trojan.Clicker.HTML.lframe.W <-- Desinfektion fehlgeschlagen
MCAFEE : JS/Joke-Shake <-- wasn das?? Will mich da einer Ärgern??
IE Windows Popper
/edit
So mein spywaredocotor hat noch was gefunden nur nicht mehr als Virus erkannt

Backdoor.Secret Service:

Is a Remote Administration Trojan. It installs a client program on the attakers machine and a server program on the intended victims machine. Through this setup , an attacker can take full controle of the victims machine , including keylogging and system administration privileges.

Backdoor.Sdbot.NL:

Is a IRC backdoor Trojan for the Windows platform. It allows a remote intruder access and control of the infected computer via IRC channels

Hört sich nicht gut an.. Bitte um schnelle hilfe!!!!

Dragon4 24.12.2006 13:12

Kann mir da keiner helfen????

Oder muss ich mein system neu aufsetzten wie ich das wo andres gelesen habe , wenn man ein backdoor hat???


Gibnt es da keina ndere Lösung???


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:09 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131