|
Wurm oder Trojaner ? Need Help Hi an alle, ich beschreibe in kurze mein Problem; Habe auf meinem Pc ein Wurm oder einen Trojaner angefangen :nixda: das Problem ist bei Windows Taskmanger (Prozesse) laufen 2x Explorer. exe. Anderes Problem ist bei scannen mit Antivurus (Kaspersky Internetsecurity) schaltet sich Pc nach paar min. aus und wieder ein :heulen: Wer kann mir dabei helfen diese Probleme zu lösen :confused: Aber bitte noob sicher :aplaus: Mein HiJackThis Log-File: Logfile of HijackThis v1.99.1 Scan saved at 08:31:40, on 10.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\brsvc01a.exe C:\WINDOWS\system32\brss01a.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.5.0_11\bin\jusched.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\explorer.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\BOSS\LOKALE~1\Temp\Rar$EX00.625\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1161090268343 O17 - HKLM\System\CCS\Services\Tcpip\..\{3FA28CBA-5BD9-4E83-9EC5-B74C6663BE58}: NameServer = 213.191.74.11 213.191.92.82 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: DirectX Service (Weqoh) - Unknown owner - C:\WINDOWS\system32\directx.exe |
Hallo. O.K. du bist wahrscheinlich mit einem Wurm infiziert. Scanne folgende Datei nur zur Sicherheit auf Virustotal und poste den Bericht mit allen Angaben: " C:\WINDOWS\system32\directx.exe " |
Hallo. O.K. du bist wahrscheinlich mit einem Wurm infiziert. Nutzt du Kazaa? Dann weisst du woher du ihn hast. Scanne folgende Datei nur zur Sicherheit auf Virustotal und poste den Bericht mit allen Angaben: " C:\WINDOWS\system32\directx.exe " Dann mache folgendes: -Update Kis -Schalte die Systemwiederherstellung auf allen Laufwerken aus. -Wechsel in den abgesicherten Modus. -Starte Kis und mache einen kompletten Systemscan auf höchster Sicherheitsstufe. -Poste das logFile hier oder hänge es an. mfg Undoreal |
undoreal hat Recht! Vllt. liest du dir aber auch das mal durch: Der Wurm, den du hast, erzeugt Kopien seiner selbst in dem Verzeichnis %windir%\backup. Für die Kopien werden meistens folgende Namen verwendet: Kazaa Speed Up.exe Messenger Plus.exe DirectX.exe In der Reg. wird im Key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, abhängig vom Dateinamen der Kopie, folgender Eintrag gemacht: "DirectX" = "%windir%\backup\DirectX.exe". Dieser Eintrag stellt sicher, dass der Wurm beim Booten mitgestartet wird. Der Wurm benutzt zur Ausbreitung am liebsten das Kazaa-Netzwerk und macht folgenden Eintrag in der Reg.: HKEY_CURRENT_USER\SOFTWARE\Kazaa\LocalContent "Dir0" = "01234:C:\%windir%\backup" |
File "directx.exe" received on 03.11.2007 at 13:52:38 (CET) is being scanned by VirusTotal in this moment. Results will be shown as they're generated. Antivirus Version Update Result AntiVir 7.3.1.41 03.10.2007 no virus found Authentium 4.93.8 03.09.2007 no virus found Avast 4.7.936.0 03.09.2007 Win32:KillAV-BT AVG 7.5.0.447 03.11.2007 no virus found BitDefender 7.2 03.11.2007 BehavesLike:Win32.AV-Killer CAT-QuickHeal 9.00 03.10.2007 no virus found ClamAV devel-20060426 03.11.2007 no virus found DrWeb 4.33 03.11.2007 no virus found eSafe 7.0.14.0 03.08.2007 suspicious Trojan/Worm eTrust-Vet 30.6.3469 03.10.2007 no virus found Ewido 4.0 03.11.2007 no virus found FileAdvisor 1 03.11.2007 no virus found Fortinet 2.85.0.0 03.11.2007 suspicious F-Prot 4.3.1.45 03.09.2007 no virus found F-Secure 6.70.13030.0 03.09.2007 no virus found Ikarus T3.1.1.3 03.11.2007 no virus found Aditional Information File size: 62976 bytes MD5: 2cd1e8d319d5a09995db86d874e6fb8d SHA1: c94cd674f99795b51a3558fecd0ab82f64083f62 packers: UPX packers: UPX packers: UPX packers: UPX |
Zitat:
das Kis sagt mir alles im grünen Bereich. Das andere ist warum beim Kompletten scan mit Kis schaltet sich der Pc aus und wieder ein :headbang: |
Zitat:
what? drück dich deutlich aus.. |
Zitat:
|
Zitat:
Wie kann man sich mit Kis06 eigentlich noch was einfangen? ^^ Lies dir im Anschluss mal den Link in meiner Signatur zur Systemsicherheit durch.. Dann ist dieser scan nicht beendet gewesen Zitat:
mfg Undoreal |
Zitat:
Complete scanning result of "directx.exe", received in VirusTotal at 03.13.2007, 12:59:21 (CET). Antivirus Version Update Result AntiVir 7.3.1.41 03.13.2007 no virus found Authentium 4.93.8 03.13.2007 no virus found Avast 4.7.936.0 03.12.2007 Win32:KillAV-BT AVG 7.5.0.447 03.12.2007 no virus found BitDefender 7.2 03.13.2007 BehavesLike:Win32.AV-Killer CAT-QuickHeal 9.00 03.12.2007 no virus found ClamAV devel-20060426 03.13.2007 no virus found DrWeb 4.33 03.13.2007 no virus found eSafe 7.0.14.0 03.12.2007 Win32.Monicker eTrust-Vet 30.6.3474 03.13.2007 no virus found Ewido 4.0 03.13.2007 no virus found FileAdvisor 1 03.13.2007 no virus found Fortinet 2.85.0.0 03.13.2007 suspicious F-Prot 4.3.1.45 03.13.2007 no virus found F-Secure 6.70.13030.0 03.13.2007 no virus found Ikarus T3.1.1.3 03.13.2007 BehavesLikeWin32.AV-Killer Kaspersky 4.0.2.24 03.13.2007 no virus found McAfee 4982 03.12.2007 no virus found Microsoft 1.2306 03.13.2007 no virus found NOD32v2 2111 03.13.2007 no virus found Norman 5.80.02 03.13.2007 no virus found Panda 9.0.0.4 03.12.2007 Suspicious file Prevx1 V2 03.13.2007 no virus found Sophos 4.15.0 03.13.2007 no virus found Sunbelt 2.2.907.0 03.10.2007 no virus found Symantec 10 03.13.2007 Trojan.Monicker TheHacker 6.1.6.074 03.12.2007 no virus found UNA 1.83 03.12.2007 no virus found VBA32 3.11.2 03.13.2007 no virus found VirusBuster 4.3.19:9 03.12.2007 no virus found Aditional Information File size: 62976 bytes MD5: 2cd1e8d319d5a09995db86d874e6fb8d SHA1: c94cd674f99795b51a3558fecd0ab82f64083f62 packers: UPX packers: UPX packers: UPX packers: UPX |
O.k. Führe mal bitte den Signatur-link zum Dateien suchen aus und suche nach folgendem: " DirectValk " " DirectX Service " Dann durchsuche die Registrierung nach folgenden Schlüsseln: " HKLM\SYSTEM\CurrentControlSet\Services\DirectValk " " HKLM\SOFTWARE\Microsoft\DirectValk " mfg Undoreal |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:57 Uhr. |
Copyright ©2000-2025, Trojaner-Board