|
Auswertung von EScan und HiJackThis Hi! Ich muss zugeben, was Trojaner und Viren angeht hab ich eigentlich keine Erfahrung. Aber das ist, was mir letztens passierte: Am Freitag bekam ich zuerst eine Meldung von meiner Firewall (Tiny Personall Firewall 2005), dass jemand versuche, meine Ports zu scanen. Danach meldete Tiny, dass sich die MD5 Summen der Shell (ich nutze normalerweise LiteStep) und von Avast Antivirus geändert hätten. Danach ist der Computer abgestürzt. Ich hab ihn dann neu gestartet und er lief einwandfrei. Koscher erschien mir das aber nicht. Darauf hin hab ich LiteStep und Avast deinstalliert. Schließlich diverse AV Progs installiert, allerdings immer nur Trials (Kapersky und Bitdefender, wobei Bitdefender einmal normal, einmal im abgesicherten Modus lief), außerdem AdAware und SpyBot, allerdings wurde nichts gefunden. Jetzt hab ich nach den Anleitungen hier im Board einen EScan und einen HiJackThis Scan durchgeführt, bin allerdings ein bisschen berfordert mit der Auswertung, vor allem weil ich gehört habe, dass EScan angeblich Fehlmeldungen plaztieren soll, damit man sich die Originalversion kauft. Hier also jetzt die Logs. Es wäre nett, wenn jemand, der Ahnung davon hat, drüber guckt und ein kurzes Feedback gibt. Danke schonmal im vorraus. ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Header ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ find.bat Version 2007.06.16.01 Microsoft Windows XP [Version 5.1.2600] Bootmodus: MINIMAL eScan Version: 9.6.8 Sprache: German Virus-Datenbank Datum: 1/29/2008 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Infektionsmeldungen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Object "NULLBYTE Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (reboot.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen. System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with winfixer/errorsafe Adware (support.url)! Action taken: Keine Aktion vorgenommen. System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Aktion vorgenommen. System found infected with backdoor (ircbot) trojans Spyware/Adware (hkey_current_user\software\microsoft\windows\currentversion\policies\explorer/nosavesettings)! Action taken: Keine Aktion vorgenommen. ~~~~~~~~~~~ Dateien ~~~~~~~~~~~ ~~~~ Infected files ~~~~~~~~~~~ Datei C:\Dokumente und Einstellungen\***\Anwendungsdaten\LimeWire\.NetworkShare\Incomplete\T-4379440-LimeWireWin4.12.6-nopack.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\RevertCache\1\C_\Dokumente und Einstellungen\***\Eigene Dateien\My Widgets\Desktop.ini infiziert von "VB.CO.Leftover" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Tagged files ~~~~~~~~~~~ File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix\Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. File C:\Dokumente und Einstellungen\***\Desktop\SmitfraudFix.zip/SmitfraudFix/Reboot.exe markiert als "not-a-virus:RiskTool.Win32.Reboot.f". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\Eigene Programme\Internet\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. File C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\RevertCache\1\D_\Installationsdateien\Internet\Websites\aceftp3free.exe//data0007//data0159 markiert als "not-a-virus:AdWare.Win32.MegaSearch.n". Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei D:\Installationsdateien\Hardware\radmin\RADMIN22.EXE//raddrv.dll markiert als not-a-virus:RemoteAdmin.Win32.RAdmin.22. Keine Aktion vorgenommen. Datei D:\Installationsdateien\Internet\Instant Massenger\mirc\mirc617.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.617. Keine Aktion vorgenommen. ~~~~~~~~~~~ ~~~~ Offending files ~~~~~~~~~~~ Offending file found: C:\Dokumente und Einstellungen\***\Desktop\smitfraudfix\process.exe Offending file found: C:\Dokumente und Einstellungen\***\Desktop\smitfraudfix\reboot.exe Offending file found: C:\Dokumente und Einstellungen\***\Desktop\smitfraudfix\swreg.exe Offending file found: C:\Dokumente und Einstellungen\***\Desktop\smitfraudfix\swsc.exe Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\mathe\texniccenter\miktex 2.5\miktex on the web\support.url Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\mathe\texniccenter\miktex 2.5\miktex on the web\support.url ~~~~~~~~~~~ Ordner ~~~~~~~~~~~ ~~~~~~~~~~~ Registry ~~~~~~~~~~~ Offending Key found: HKLM\Software\magnet !!! ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Diverses ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~ Prozesse und Module ~~~~~~~~~~~~~~~~~~~~~~ Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}... ~~~~~~~~~~~~~~~~~~~~~~ Scanfehler ~~~~~~~~~~~~~~~~~~~~~~ C:\WINDOWS\system32\RSWIcon.icl nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Installer\MSI14.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Installer\MSI2A.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Installer\MSI37.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\Installer\MSI45.tmp nicht gescannt. Wahrscheinlich durch Passwort geschützt... C:\WINDOWS\system32\RSWIcon.icl nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Installationsdateien\Spiele\Patches\SWKotOR1_03.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... D:\Installationsdateien\Systemprogramme\Brenner\ratDVDSetup-0.78.1444.exe nicht gescannt. Wahrscheinlich durch Passwort geschützt... ~~~~~~~~~~~~~~~~~~~~~~ Hosts-Datei ~~~~~~~~~~~~~~~~~~~~~~ DataBasePath: %SystemRoot%\System32\drivers\etc Zeilen die nicht dem Standard entsprechen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Gescannte Dateien: 383087 Gefundene Viren: 20 Anzahl der desinfizierten Dateien: 0 Umbenannte Dateien: 0 Anzahl der gelöschten Dateien: 0 Anzahl Fehler: 140 Dauer des Scans bisher: 05:13:25 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scan-Optionen ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Specherüberprüfung: Aktiviert Registry Überprüfung: Aktiviert System-Ordner Überprüfung: Aktiviert Überprüfung der Systembereiche: Deaktiviert Überprüfung der Dienste: Aktiviert Überprüfung der Festplatten: Deaktiviert Überprüfung aller Festplatten :Aktiviert Batchstart: 16:42:25,76 Batchende: 16:42:53,60 ______________________________________________________________________ Nun noch der HijackThis Log: Logfile of HijackThis v1.99.1 Scan saved at 16:43:45, on 30.01.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Ben Hur\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**ps://www.printme.com/support/adobe/index.html O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\EIGENE~1\Internet\SICHER~1\Spybot\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [SmcService] C:\EIGENE~1\Internet\SICHER~1\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [vmware-tray] C:\Eigene Programme\vmware\vmware-tray.exe O4 - HKLM\..\Run: [avast!] C:\EIGENE~1\Internet\SICHER~1\avast\ashDisp.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Download all with Free Download Manager - file://C:\Eigene Programme\Internet\Free Download Manager\dlall.htm O8 - Extra context menu item: Download selected with Free Download Manager - file://C:\Eigene Programme\Internet\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download web site with Free Download Manager - file://C:\Eigene Programme\Internet\Free Download Manager\dlpage.htm O8 - Extra context menu item: Download with Free Download Manager - file://C:\Eigene Programme\Internet\Free Download Manager\dllink.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\EIGENE~1\uni\visio\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: In &neuem Fenster öffnen - C:\Dokumente und Einstellungen\***\Anwendungsdaten\TuneUp Software\TuneUp Utilities\Web\tuofinw.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\EIGENE~1\uni\OFFICE\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\EIGENE~1\Internet\icq\icq\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\EIGENE~1\Internet\icq\icq\ICQ.exe O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\EIGENE~1\uni\OFFICE\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O14 - IERESET.INF: START_PAGE_URL=h**p://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=DE_DE&c=Q305&bd=pavilion&pf=laptop O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (Installation Support) - C:\Programme\Yahoo!\Common\Yinsthelper.dll O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1196243695272 O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL O20 - Winlogon Notify: PFW - C:\WINDOWS\SYSTEM32\UmxWnp.Dll O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Eigene Programme\Internet\Sicherheit\adaware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Eigene Programme\Internet\Sicherheit\avast\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Eigene Programme\Internet\Sicherheit\avast\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Eigene Programme\Internet\Sicherheit\avast\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Eigene Programme\Internet\Sicherheit\avast\ashWebSv.exe" /service (file missing) O23 - Service: Bluetooth Service (btwdins) - WIDCOMM, Inc. - c:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: PMounter - Unknown owner - C:\WINDOWS\system32\PMounter.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Eigene Programme\Internet\Sicherheit\sygatefirewall\smc.exe O23 - Service: VMware Agent Service (ufad-ws60) - Unknown owner - C:\Eigene Programme\vmware\vmware-ufad.exe" -d "C:\Eigene Programme\vmware\\" -s ufad-p2v.xml (file missing) O23 - Service: FW Event Manager (UmxAgent) - Tiny Software, Inc. - C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxAgent.exe O23 - Service: FW Configuration Interpreter (UmxCfg) - Tiny Software, Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxCfg.exe O23 - Service: FW User-Mode Helper (UmxFwHlp) - Tiny Software, Inc. - C:\Eigene Programme\Internet\Sicherheit\tinyfirewall\UmxFwHlp.exe O23 - Service: FW Policy Manager (UmxPol) - Tiny Software Inc. - C:\Programme\Gemeinsame Dateien\PFShared\UmxPol.exe O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board