|
ist da nochwas drin? DANKE Hi! auf meiner Platte hatte sich der ardamax keyloger eingenistet.Nachdem ich avast, ad-aware und spybot drüber gejagt habe, wird nix mehr gefunden... seht ihr da was?? DANKE Logfile of Trend Micro HijackThis v2.0.0 (BETA) Scan saved at 08:23:43, on 31.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\System Control Manager\edd.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\o2flash.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\VeriSoft\Universal Security Client\Bin\AsGHost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\AGRSMMSG.exe C:\WINDOWS\vsnp2std.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\System Control Manager\MGSysCtrl.exe C:\Programme\WLAN Monitor\WLConfig.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Nero\Nero 7\InCD\InCD.exe C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Skype\Phone\Skype.exe C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\NetMeter\NetMeter.exe C:\Programme\Skype\Plugin Manager\skypePM.exe C:\Programme\WLAN Monitor\accwpac.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\edit\Desktop\HiJackThis_v2.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msi.com.tw R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msi.com.tw R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.msi.com.tw/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Universal Security Client - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - C:\Programme\VeriSoft\Universal Security Client\Bin\ItIEAddIn.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [snp2std] C:\WINDOWS\vsnp2std.exe O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\PROGRA~1\VeriSoft\UNIVER~1\Bin\ASTSVCC.dll,RegisterModule O4 - HKLM\..\Run: [wlconfig] "C:\Programme\WLAN Monitor\WLConfig.exe" -autostart O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [spoolsv] C:\WINDOWS\system32\Sys\spoolsv.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [C:\Programme\NetMeter\NetMeter.exe] C:\Programme\NetMeter\NetMeter.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.msi.com.tw O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: APSHook.dll O20 - Winlogon Notify: OneCard - C:\Programme\VeriSoft\Universal Security Client\Bin\ASWLNPkg.dll O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll O23 - Service: AccSys WiFi Component (accsvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\accsvc.exe O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe O23 - Service: SCM Driver Daemon (NishService) - Unknown owner - C:\Programme\System Control Manager\edd.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe -- End of file - 7091 bytes |
Hallo. :) Dateien Online überprüfen lassen: * Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien: (lass auch die versteckten Dateien anzeigen!) Zitat:
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. (Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!) Gruß Sunny |
hi! ... also die SuFu (inkl. aller Hinweise) bringt mir 3x die datei ... http://img241.imageshack.us/img241/6492/spoollu0.th.jpg [img=http://img241.imageshack.us/img241/6492/spoollu0.th.jpg] das ergebnis der ersten datei ist wie folgt: Complete scanning result of "spoolsv.exe", received in VirusTotal at 03.31.2007, 10:28:15 (CET). AntivirusVersionUpdateResult AhnLab-V32007.3.31.003.31.2007no virus foundAntiVir7.3.1.4603.30.2007no virus foundAuthentium4.93.803.31.2007no virus foundAvast4.7.936.003.30.2007no virus foundAVG7.5.0.44703.30.2007no virus foundBitDefender7.203.31.2007no virus foundCAT-QuickHeal9.0003.30.2007no virus foundClamAVdevel-2007031203.31.2007no virus foundDrWeb4.3303.30.2007no virus foundeSafe7.0.15.003.29.2007no virus foundeTrust-Vet30.6.352703.31.2007no virus foundEwido4.003.30.2007no virus foundFileAdvisor103.31.2007No threat detectedFortinet2.85.0.003.31.2007no virus foundF-Prot4.3.1.4503.30.2007no virus foundF-Secure6.70.13030.003.30.2007no virus foundIkarusT3.1.1.303.31.2007no virus foundKaspersky4.0.2.2403.31.2007no virus foundMcAfee499703.31.2007no virus foundMicrosoft1.230603.31.2007no virus foundNOD32v2215803.30.2007no virus foundNorman5.80.0203.30.2007no virus foundPanda9.0.0.403.30.2007no virus foundPrevx1V203.31.2007no virus foundSophos4.16.003.30.2007no virus foundSunbelt2.2.907.003.31.2007no virus foundSymantec1003.31.2007no virus foundTheHacker6.1.6.08303.30.2007no virus foundUNA1.8303.16.2007no virus foundVBA323.11.303.30.2007no virus foundVirusBuster4.3.7:903.30.2007no virus foundWebwasher-Gateway6.0.103.31.2007no virus found Aditional Information File size: 57856 bytesMD5: da81ec57acd4cdc3d4c51cf3d409af9fSHA1: 7047ed8bd91f3e57972483feaa56e3499cd8c668Bit9 info: Bit9 FileAdvisor - Search Results und ??? ... achja, danke erstmal für Deine hilfe :aplaus: grüße Nachtrag: der scan als Bild: http://img375.imageshack.us/img375/8088/virusgd7.th.jpg [img=http://img375.imageshack.us/img375/8088/virusgd7.th.jpg] |
ähm... und???? :confused: |
Hast du dieses Datei in diesem Ordner auswerten lassen??? Zitat:
|
Zitat:
nun, die dateisuche erbrachte ausweislich des ersten screenshots nur eine in system32, NICHT in system32/sys !! ... die hab ich nicht! ... also ich hab nichtmal den Ordner! daher nahm ich die, die direkt in system32 liegt und hab sie auswerten lassen... Ergebnis siehe screenshot2 ... und nun? |
Hast du auch die versteckten Dateien und Ordner sichtbar gemacht als du gesucht hast? Versteckte Dateien anzeigen lassen: * Lies dir folgende Anleitung gut durch und arbeite sie ab: -> versteckte Dateien anzeigen! (Ein Dankeschön hierbei an Rene-gad für die Anleitung. :) ) Sunny |
aber ja, die anleitung ist exakt abgearbeitet worden ... ergebnis: siehe 1. screenshot :schmoll: anbei bspw. der windows-system32-ordner: http://img478.imageshack.us/img478/8664/syslf8.th.jpg http://img478.imageshack.us/img478/8664/syslf8.th.jpg = OHNE "sys"-Unterordner ... |
Der Ordner ist da, er lässt sich nur nicht finden bzw. der Schädling (Virus/Trojaner) versteckt ihn! Mach folgendes, klicke auf die Seite von Virustotal und kopiere in das weiße Feld auf der Seite diesen Dateipfad: Zitat:
Sunny |
Zitat:
http://img517.imageshack.us/img517/5631/nixyn0.th.jpg [img=http://img517.imageshack.us/img517/5631/nixyn0.th.jpg] |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:13 Uhr. |
Copyright ©2000-2025, Trojaner-Board