|
system message - trojaner ? Hallo ihr Lieben, bei mir erscheint sobald ich mich ins Internet einwähle in der Taskleiste unten rechts ..... wo auch die Uhr und der Lautsprecher ist ein gelbes dreieckiges Icon mit einem schwarzen Ausrufezeichen und der Hinweis auf einer kleinen Tafel "system message - und irgendwas mit click here " Nach kurzer Zeit verschwindet es wieder. Störend ist, wenn ich google, das ich dann öfter auf einer anderen Seiten lande als die angeklickte. Spybot habe ich eben schon probiert im abgesicherten Modus, klappte aber leider nicht. Vielleicht ist ja einer so lieb und schaut sich das mal an und hat Eventuell ein Hinweis wie ich den Mist von der Platte bekomme. Hier mal der Logfile mit Hijack. Logfile of HijackThis v1.99.1 Scan saved at 18:32:02, on 03.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\wuauclt.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\soundman.exe C:\Programme\Java\jre1.6.0_03\bin\jusched.exe C:\WINDOWS\system32\kmmumsfu.exe C:\WINDOWS\system32\ctfmon.exe D:\KN\virus\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {58816A62-77BD-42AC-AA85-392AD5C09DDC} - C:\WINDOWS\system32\dpvoicem.dll O2 - BHO: (no name) - {5EE848B0-7C76-4D13-AFB6-4211B8BAFBD2} - c:\windows\system32\dmstylet.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] soundman.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [kmmumsfu] C:\WINDOWS\system32\kmmumsfu.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [kmmumsfu] C:\WINDOWS\system32\kmmumsfu.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\WINDOW~4\MESSEN~1\MSGRAP~1.DLL O20 - Winlogon Notify: uownrgwf - C:\WINDOWS\SYSTEM32\dmstylet.dll O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe |
Zitat:
C:\WINDOWS\system32\dpvoicem.dll c:\windows\system32\dmstylet.dll C:\WINDOWS\system32\kmmumsfu.exe Werte diese Dateien nacheinander bei Virustotal aus und poste die Ergebnisse inkl. MD5/SHA-1. |
Hallo root24, erst einmal vielen Dank für deine Hilfe :knuddel: Hier die Auswertung der Dateien: C:\WINDOWS\system32\dpvoicem.dll Die Datei wurde bereits analysiert: MD5: 33c56190acebb1e46dfc0186ecc39c5b Datum 2008.02.28 08:45:13 (CET) [>4D] Ergebnisse 6/32 Permalink: analisis/229b46efd319337f31d282dec9099aa6 Datei dpvoicem.dll empfangen 2008.03.03 19:25:35 (CET) Status: Beendet Ergebnis: 6/32 (18.75%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.4.0 2008.03.03 - AntiVir 7.6.0.73 2008.03.03 - Authentium 4.93.8 2008.03.02 - Avast 4.7.1098.0 2008.03.02 - AVG 7.5.0.516 2008.03.03 - BitDefender 7.2 2008.03.03 - CAT-QuickHeal 9.50 2008.03.01 - ClamAV 0.92.1 2008.03.03 - DrWeb 4.44.0.09170 2008.03.03 - eSafe 7.0.15.0 2008.02.28 - eTrust-Vet 31.3.5582 2008.03.03 Win32/Kvol!generic Ewido 4.0 2008.03.03 - FileAdvisor 1 2008.03.03 - Fortinet 3.14.0.0 2008.03.03 - F-Prot 4.4.2.54 2008.03.02 - F-Secure 6.70.13260.0 2008.03.03 - Ikarus T3.1.1.20 2008.03.03 Virus.Trojan.Win32.Pakes.cdw Kaspersky 7.0.0.125 2008.03.03 - McAfee 5243 2008.03.03 - Microsoft 1.3301 2008.03.03 Trojan:Win32/Boaxxe.B NOD32v2 2918 2008.03.03 - Norman 5.80.02 2008.03.03 - Panda 9.0.0.4 2008.03.02 Suspicious file Prevx1 V2 2008.03.03 Generic.Malware Rising 20.34.02.00 2008.03.03 - Sophos 4.27.0 2008.03.03 - Sunbelt 3.0.906.0 2008.02.28 - Symantec 10 2008.03.03 - TheHacker 6.2.92.231 2008.03.02 - VBA32 3.12.6.2 2008.02.27 - VirusBuster 4.3.26:9 2008.03.03 - Webwasher-Gateway 6.6.2 2008.03.03 Win32.NewMalware.WU!88064!5 weitere Informationen File size: 88064 bytes MD5: 33c56190acebb1e46dfc0186ecc39c5b SHA1: 3f8abfbf61a506fbad6ade1145e326d0b2db8a43 PEiD: - packers: UPX packers: UPX packers: PE_Patch.UPX, UPX Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=EE54D50B00E6B17E582901636F3D3A0045E662EA c:\windows\system32\dmstylet.dll Die Datei wurde bereits analysiert: MD5: d2dc5276be9b3fff72be2d365972ed0a Datum 2008.02.28 12:41:17 (CET) [>4D] Ergebnisse 6/32 Permalink: analisis/17e33f19deda6db8ea9636ca25f2f96e Datei dmstylet.dll empfangen 2008.03.03 19:51:21 (CET) Status: Beendet Ergebnis: 5/32 (15.63%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.4.0 2008.03.03 - AntiVir 7.6.0.73 2008.03.03 - Authentium 4.93.8 2008.03.02 - Avast 4.7.1098.0 2008.03.02 - AVG 7.5.0.516 2008.03.03 - BitDefender 7.2 2008.03.03 - CAT-QuickHeal 9.50 2008.03.01 - ClamAV 0.92.1 2008.03.03 - DrWeb 4.44.0.09170 2008.03.03 - eSafe 7.0.15.0 2008.02.28 - eTrust-Vet 31.3.5582 2008.03.03 - Ewido 4.0 2008.03.03 - FileAdvisor 1 2008.03.03 - Fortinet 3.14.0.0 2008.03.03 - F-Prot 4.4.2.54 2008.03.02 - F-Secure 6.70.13260.0 2008.03.03 - Ikarus T3.1.1.20 2008.03.03 - Kaspersky 7.0.0.125 2008.03.03 - McAfee 5243 2008.03.03 - Microsoft 1.3301 2008.03.03 - NOD32v2 2918 2008.03.03 probably a variant of Win32/Rootkit.Agent.QQ Norman 5.80.02 2008.03.03 - Panda 9.0.0.4 2008.03.02 Suspicious file Prevx1 V2 2008.03.03 Trojan.Vundo Rising 20.34.02.00 2008.03.03 - Sophos 4.27.0 2008.03.03 Mal/EncPk-CL Sunbelt 3.0.906.0 2008.02.28 - Symantec 10 2008.03.03 - TheHacker 6.2.92.231 2008.03.02 - VBA32 3.12.6.2 2008.02.27 - VirusBuster 4.3.26:9 2008.03.03 - Webwasher-Gateway 6.6.2 2008.03.03 Win32.Malware.gen (suspicious) weitere Informationen File size: 85504 bytes MD5: d2dc5276be9b3fff72be2d365972ed0a SHA1: 34c3645f084f956d3e9205225add6a0e26ce6803 PEiD: - packers: UPX Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=521FC0560064FCFD4EB4010C6DF8CB00627B975E C:\WINDOWS\system32\kmmumsfu.exe Datei kmmumsfu.exe empfangen 2008.03.03 20:00:56 (CET) Status: Beendet Ergebnis: 13/32 (40.63%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.4.0 2008.03.03 - AntiVir 7.6.0.73 2008.03.03 TR/Crypt.Morphine.Gen Authentium 4.93.8 2008.03.02 - Avast 4.7.1098.0 2008.03.02 - AVG 7.5.0.516 2008.03.03 Packed.Morphine.c BitDefender 7.2 2008.03.03 - CAT-QuickHeal 9.50 2008.03.01 (Suspicious) - DNAScan ClamAV 0.92.1 2008.03.03 - DrWeb 4.44.0.09170 2008.03.03 - eSafe 7.0.15.0 2008.02.28 Suspicious File eTrust-Vet 31.3.5582 2008.03.03 - Ewido 4.0 2008.03.03 - FileAdvisor 1 2008.03.03 - Fortinet 3.14.0.0 2008.03.03 - F-Prot 4.4.2.54 2008.03.02 W32/Heuristic-114!Eldorado F-Secure 6.70.13260.0 2008.03.03 Suspicious:W32/Malware!Gemini Ikarus T3.1.1.20 2008.03.03 - Kaspersky 7.0.0.125 2008.03.03 Heur.Trojan.Generic McAfee 5243 2008.03.03 - Microsoft 1.3301 2008.03.03 VirTool:Win32/Obfuscator.Q NOD32v2 2918 2008.03.03 a variant of Win32/Small.BB Norman 5.80.02 2008.03.03 - Panda 9.0.0.4 2008.03.03 Suspicious file Prevx1 V2 2008.03.03 - Rising 20.34.02.00 2008.03.03 - Sophos 4.27.0 2008.03.03 Mal/EncPk-CL Sunbelt 3.0.906.0 2008.02.28 - Symantec 10 2008.03.03 Backdoor.Trojan TheHacker 6.2.92.231 2008.03.02 - VBA32 3.12.6.2 2008.02.27 - VirusBuster 4.3.26:9 2008.03.03 - Webwasher-Gateway 6.6.2 2008.03.03 Trojan.Crypt.Morphine.Gen weitere Informationen File size: 17408 bytes MD5: f4ec284158a2a8f81b03095893857475 SHA1: ceeb722d335d4d23239d6d4c21ba470b59bc32b0 PEiD: - packers: UPX |
Du hast größtenteils neue/unbekannte Malware auf dem PC. Da es sich bei einem um eine Variente von Win32/Rootkit.Agent.QQ handeln kann, würde ich definitiv auf Nummer sicher gehen und das System kurzerhand flachmachen und neu aufsetzen. :kloppen: |
Ist ein Surfen mit "Mozilla" eigentlich sicherer als mit IE ? Ich habe eigentlich nur nach GIF Bilder gesucht mit Google Gibt es keine andere Möglichkeit als neu aufzusetzen ??? :heulen: |
Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 03:07 Uhr. |
Copyright ©2000-2025, Trojaner-Board