Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Trojaner !!Hilfe!! (https://www.trojaner-board.de/50707-trojaner-hilfe.html)

donuthunter1 19.03.2008 02:28
Trojaner !!Hilfe!!
 
Hallo,

ich hab mir nen Trojaner aufgegabelt ...weiß nicht wie und warum

Also mein Anti-Viren Programm (avast) sagt das der Ordner

C:\Programme\NetProject\

voller Viren ist.In dem Ordner sind Folgende Dateien:

sbmdl.dll
scit.exe
scm.exe
sbsm.exe
sbmntr.exe

Es kommen immer wieder einblendungen von Windows das ich nen Virus drauf hab .. nur eben auf Englisch und in ner IE Leiste.
Er will das ich iwelche Anti-Viren-Programme downloade.


ich hab in anderen Forums gelesen das man immer eine Logfile Datei reinschreiben soll ...ich hab mir smitfraudfix gezogen.
ich stell mal die rapport.txt hier rein vllt hilft es euch.

SmitFraudFix v2.305

Scan done at 2:05:07,67, 19.03.2008
Run from C:\Dokumente und Einstellungen\Stefan\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\NetProject\scit.exe
C:\Programme\NetProject\scm.exe
C:\Programme\NetProject\sbmntr.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Plugins\AM\dtsslsrv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\NetProject\sbsm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\TrueCrypt\TrueCrypt.exe
C:\Programme\Gemeinsame Dateien\Portrait Displays\Shared\DTSRVC.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stefan


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\Stefan\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\Stefan\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme

C:\Programme\Helper\ FOUND !
C:\Programme\NetProject\ FOUND !

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Die derzeitige Homepage"


»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]
"{9d19a1a9-3cdf-4f15-a5ca-ea3905febded}"="hyperproduction"

[HKEY_CLASSES_ROOT\CLSID\{9d19a1a9-3cdf-4f15-a5ca-ea3905febded}\InProcServer32]
@="C:\WINDOWS\system32\wcscqa.dll"

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{9d19a1a9-3cdf-4f15-a5ca-ea3905febded}\InProcServer32]
@="C:\WINDOWS\system32\wcscqa.dll"



»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Rustock



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: VIA-kompatibler Fast Ethernet-Adapter - Paketplaner-Miniport
DNS Server Search Order: 192.168.***.***

HKLM\SYSTEM\CCS\Services\Tcpip\..\{E097865F-6CE3-42CC-960D-D797D6447648}: DhcpNameServer=192.168.***.***
HKLM\SYSTEM\CS1\Services\Tcpip\..\{E097865F-6CE3-42CC-960D-D797D6447648}: DhcpNameServer=192.168.***.***
HKLM\SYSTEM\CS2\Services\Tcpip\..\{E097865F-6CE3-42CC-960D-D797D6447648}: DhcpNameServer=192.168.***.***
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.2.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.***.***
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=192.168.***.***


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection





Ich kenn mich nicht so gut aus mit der Virenbeseitigung also erklärt die Schritte einfach und verständlich ;-D


mfg
stefan

undoreal 19.03.2008 06:32
Halli hallo.

Die Smitfraudfix Anwendung sollte Erfolg gehabt haben oder?

Poste bitte ein Hijhackthis log.

donuthunter1 19.03.2008 13:20
so hier ist das logfile



Logfile of HijackThis v1.99.1

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

undoreal 19.03.2008 13:53
Dein log ist sauber. Beobachte den Rechner weiterhin.

donuthunter1 19.03.2008 13:59
ok,

ich scan ihn heut nochmal mit avast...


vielen dank!!:daumenhoc

mfg
donuthunter1

donuthunter1 19.03.2008 18:05
anscheinend bin ich ihn doch noch nich los...:heulen:

mein avast sagt folgendes:


Datei-Name: C:\System Volume Information\_restore{6DD82D6F-4848-4301-878D-A781F66E8169}\RP187\A0041124.exe\[UPX]

Malware-Name: Win32:Zlob-BMV [Trj]

Malware-Typ: Trojanisches Pferd

VPS Version: 080318-1, 18.03.2008




mfg

donuthunter1

boston 19.03.2008 18:18
deaktiviere die systemwiederherstellung und du bist ihn los.:)
Deaktivieren der Systemwiederherstellung und Start in den abgesicherten Modus
nachher kannst du die gerne wieder aktivieren.


Alle Zeitangaben in WEZ +1. Es ist jetzt 15:10 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19