Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojan.SpywareStop.A...wie entfern ich den??? (https://www.trojaner-board.de/50459-trojan-spywarestop-a-entfern.html)

maryblue 13.03.2008 17:50
Trojan.SpywareStop.A...wie entfern ich den???
 
Hallo,
kann mir vielleicht jemand helfen?ich habe von antivir (personalEdition)einen trojaner gemeldet bekommen.. ist nun in quarantäne...nehme an,dass ich mir den beim runterladen eines free spywareprogs eingefangen hab:mad:bitdefender onlinescan durchgeführt ergebnis:C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M5GZAX65\setupxv[1].exe=>(7z o)=>MSIStart.exe
Infiziert: Trojan.SpywareStop.A

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M5GZAX65\setupxv[1].exe=>(7z o)=>MSIStart.exe
Gelöscht

C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\M5GZAX65\setupxv[1].exe=>(7z o)
Aktualisieren fehlgeschlagen
habe seit drei tagen zoneAlarm firewall drauf +antivir (vorher kaspersky internet security)und 10000!!!! zugriffsversuche,22 erster warnung..:confused:poste mal hier ein HJT log und würde mich freuen,wenn jemand mir sagen könnte,was ich da fixen muß:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:12:38, on 13.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.6.0_05\bin\jusched.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\Programme\IncrediMail\bin\ImApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\CPLBCL53.EXE
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [AVMFBoxMonitor] "C:\Programme\FRITZ!Box Monitor\FRITZBoxMonitor.exe" -1
O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] "C:\Programme\IncrediMail\bin\IncMail.exe" /c
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan_de/scan8/oscan8.cab
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6390 bytes

Usagi 14.03.2008 17:10
Hey! Zuerst wollen wir mal sehen was das Programm eventuell noch mitgebracht hast. Verstehst Du ?

Diese Dateien auf Virustotal.com hochladen:
C:\Programme\IncrediMail\bin\ImApp.exe

C:\Programme\Windows Live\Messenger\MsnMsgr.Exe


Bitte danach vollständige Ergebisse hier posten.

maryblue 15.03.2008 22:59
Hallo Usagi,
danke Dir für deine Antwort:) habe die beiden Dateien bei Virustotal analysieren lassen,hier das Ergebnis:
Datei ImApp.exe empfangen 2008.03.13 22:52:33 (CET)
Status: Beendet
Ergebnis: 1/32 (3.12%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.14.0 2008.03.13 -
AntiVir 7.6.0.73 2008.03.13 -
Authentium 4.93.8 2008.03.13 -
Avast 4.7.1098.0 2008.03.13 -
AVG 7.5.0.516 2008.03.13 -
BitDefender 7.2 2008.03.13 -
CAT-QuickHeal 9.50 2008.03.13 -
ClamAV 0.92.1 2008.03.13 -
DrWeb 4.44.0.09170 2008.03.13 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5613 2008.03.13 -
Ewido 4.0 2008.03.13 -
FileAdvisor 1 2008.03.13 -
Fortinet 3.14.0.0 2008.03.13 -
F-Prot 4.4.2.54 2008.03.13 -
F-Secure 6.70.13260.0 2008.03.13 -
Ikarus T3.1.1.20 2008.03.13 -
Kaspersky 7.0.0.125 2008.03.13 -
McAfee 5251 2008.03.13 -
Microsoft 1.3301 2008.03.13 -
NOD32v2 2945 2008.03.13 -
Norman 5.80.02 2008.03.13 -
Panda 9.0.0.4 2008.03.12 -
Prevx1 V2 2008.03.13 Heuristic: Suspicious File With Outbound Communications
Rising 20.35.32.00 2008.03.13 -
Sophos 4.27.0 2008.03.13 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.13 -
TheHacker 6.2.92.244 2008.03.12 -
VBA32 3.12.6.2 2008.03.13 -
VirusBuster 4.3.26:9 2008.03.13 -
Webwasher-Gateway 6.6.2 2008.03.13 -
weitere Informationen
File size: 185728 bytes
MD5: d0016e9a2b3dbd1237051b675e5f0886
SHA1: 37098c5e2f798cfef06acc87399a85bf1e50cb81
PEiD: -
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=A8F557F280569498D5E5021A30B7AD00CE9ADAD9

Datei msnmsgr.exe empfangen 2008.03.11 21:31:52 (CET)
Status: Beendet
Ergebnis: 0/32 (0.00%)
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.3.12.0 2008.03.11 -
AntiVir 7.6.0.73 2008.03.11 -
Authentium 4.93.8 2008.03.11 -
Avast 4.7.1098.0 2008.03.11 -
AVG 7.5.0.516 2008.03.11 -
BitDefender 7.2 2008.03.11 -
CAT-QuickHeal 9.50 2008.03.10 -
ClamAV 0.92.1 2008.03.11 -
DrWeb 4.44.0.09170 2008.03.11 -
eSafe 7.0.15.0 2008.03.09 -
eTrust-Vet 31.3.5607 2008.03.11 -
Ewido 4.0 2008.03.11 -
FileAdvisor 1 2008.03.11 -
Fortinet 3.14.0.0 2008.03.11 -
F-Prot 4.4.2.54 2008.03.10 -
F-Secure 6.70.13260.0 2008.03.11 -
Ikarus T3.1.1.20 2008.03.11 -
Kaspersky 7.0.0.125 2008.03.11 -
McAfee 5249 2008.03.11 -
Microsoft 1.3301 2008.03.10 -
NOD32v2 2938 2008.03.11 -
Norman 5.80.02 2008.03.11 -
Panda 9.0.0.4 2008.03.11 -
Prevx1 V2 2008.03.11 -
Rising 20.35.12.00 2008.03.11 -
Sophos 4.27.0 2008.03.11 -
Sunbelt 3.0.930.0 2008.03.05 -
Symantec 10 2008.03.11 -
TheHacker 6.2.92.240 2008.03.10 -
VBA32 3.12.6.2 2008.03.05 -
VirusBuster 4.3.26:9 2008.03.11 -
Webwasher-Gateway 6.6.2 2008.03.11 -
weitere Informationen
File size: 5724184 bytes
MD5: bc00e958e96fe4041123944e0b3f5d31
SHA1: 4a6e60e9d9e7dcfb4d536ff830cb365e9b5e3e6c
PEiD: -
leider kann ICH damit gar nix anfangen:(brauche wohl wieder deine Hilfe?!Freue mich auf Deine Antwort:)

nochdigger 16.03.2008 08:32
Hallo

Zitat:
poste mal hier ein HJT log und würde mich freuen,wenn jemand mir sagen könnte,was ich da fixen muß:
Fixen musst du nix, du kannst aber diese leeren und unwirksamen Einträge fixen
Zitat:
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
Lade dir mal den Ccleaner runter --> WinTotal - Software - CCleaner
- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
- bereinige dein System
-lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben
Anschließend Antivir updaten und im abgesicherten Modus (beim start F8 drücken) einen Fullscan durchführen, zurück im normalen Modus berichte bitte.

MFG

maryblue 16.03.2008 21:05
Hi nochdigger,
dank Dir für Deine Hilfe:):)habe ich alles gemacht,die Ergebnisse des Scans im abgesicherten Modus und im normalen waren gleich:
Beginne mit der Suche in 'C:\'
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Sonntag, 16. März 2008 20:48
Benötigte Zeit: 39:34 min

Der Suchlauf wurde vollständig durchgeführt.

3905 Verzeichnisse wurden überprüft
106623 Dateien wurden geprüft
0 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
1 Dateien konnten nicht durchsucht werden
106623 Dateien ohne Befall
1182 Archive wurden durchsucht
1 Warnungen
0 Hinweise
antivir meldete keinen Fund! und nun:confused:zonealarm meldet mir 15.564 Zugriffsversuche und 23 ersten Ranges und dabei hab ich die Firewall noch nichtmals ne Woche drauf....
liebe Grüße

nochdigger 17.03.2008 05:37
Hallo

die Pagefile.sys ist die Auslagerungsdatei deines Windows, die Meldung braucht dich nicht beunruhigen.
Die Meldung deiner Firewall kannst du auch ignorieren
Zitat:
und nunzonealarm meldet mir 15.564 Zugriffsversuche und 23 ersten Ranges und dabei hab ich die Firewall noch nichtmals ne Woche drauf....
sie sagt doch bloß "schau wie wichtig ich für dein System bin":rolleyes:
Wenn du über ein aktuelles Betriebssystem verfügst und auch deine andere Software (vorallem Adobe Reader und Java) immer schön aktuell hälst sollte so keine Gefahr drohen.

Den Ccleaner kannst du ruhig nach jeder I-Net Sitzung laufen lassen.

MFG

maryblue 17.03.2008 21:06
Danke Dir:knuddel:lach
gvlg


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131