Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   BNA.tmp und andere Trojanerteile nicht entfernbar (https://www.trojaner-board.de/68708-bna-tmp-andere-trojanerteile-entfernbar.html)

Sir Hawk 16.01.2009 17:25
BNA.tmp und andere Trojanerteile nicht entfernbar
 
Hi zusammen,
Ich habe nun seit circa einer Woche Probleme mit der Geschwindigkeit meines Internets, dieses ist sehr langsam geworden. Bei den anderen PCs im Haushalt geht alles normal schnell, es liegt also nicht an der Telekom o.ä. In den letzten 3-4 Tagen stürzen nun auch diverse Prozesse und Programme ab, so das ein Arbeiten mit dem PC überhaupt nicht mehr vernünftig möglich ist. Daraufhin habe ich gestern ein zweites Windows neben dem alten installiert. Die Festplatten habe ich aufgrund der vielen vorhandenen Daten nicht formatiert. Aber auf dem zweiten Windows läuft das Internet z.B. auch langsam. Also habe ich HijackThis einen Scan machen lassen. Dabei fiel mir vor allem die BNA.tpl auf, die ja auch als Teil von Trojanern gilt. Ich habe diese also gefixt, jedoch lässt sich diese auch mit HijackThis nicht so einfach löschen. Hier ist der Logfile, ich hoffe ihr könnt mir helfen :) .

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:04:20, on 16.01.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\spoolsv.exe
G:\Programme\Bonjour\mDNSResponder.exe
G:\WINDOWS\system32\cisvc.exe
G:\Programme\Java\jre6\bin\jqs.exe
G:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
G:\Programme\ArcSoft\Magic-i 3\uMgiSvr.exe
G:\WINDOWS\system32\nvsvc32.exe
G:\WINDOWS\system32\svchost.exe
G:\Programme\HHVcdV7Sys\VC7SecS.exe
G:\Programme\DynDNS Updater\DynDNS.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\system32\regwiz.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\TEMP\jlv7.tmp
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\Dokumente und Einstellungen\***\B.tmp
G:\WINDOWS\System32\reader_s.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\RTHDCPL.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
G:\WINDOWS\system32\RUNDLL32.EXE
G:\Programme\FreePDF_XP\fpassist.exe
G:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe
G:\Programme\Java\jre6\bin\jusched.exe
G:\WINDOWS\System32\reader_s.exe
C:\Programme\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe
G:\Programme\ASUS WiFi-AP Solo\RtWLan.exe
G:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
C:\Programme\Opera\opera.exe
G:\WINDOWS\system32\wuauclt.exe
G:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local;<local>
F2 - REG:system.ini: UserInit=G:\WINDOWS\system32\userinit.exe,G:\WINDOWS\TEMP\init.exe,G:\WINDOWS\system32\regwiz.exe,G:\WINDOWS\system32\actcontroller.exe,G:\WINDOWS\system32\c++.exe,G:\WINDOWS\system32\vmware-ufad.exe,G:\WINDOWS\system32\gcc.exe,G:\WINDOWS\system32\ndetect.exe,
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - G:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - G:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - G:\PROGRA~1\MICROS~4\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - G:\Programme\Java\jre6\bin\ssv.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [JMB36X IDE Setup] G:\WINDOWS\JM\JMInsIDE.exe
O4 - HKLM\..\Run: [36X Raid Configurer] G:\WINDOWS\system32\JMRaidSetup.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Ai Quicker Help] "C:\Programme\ASUS\ASUS DH Remote\AsRc.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] G:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [TkBellExe] "G:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [SSBkgdUpdate] "G:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [ISUSPM Startup] G:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [DNS7reminder] "G:\Programme\Nuance\NaturallySpeaking9\Ereg\Ereg.exe" -r "G:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Nuance\NaturallySpeaking9\Ereg.ini
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [FreePDF Assistant] G:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [ISUSPM] "G:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -scheduler
O4 - HKLM\..\Run: [LogonStudio] "G:\Programme\LogonStudio\logonstudio.exe" /RANDOM
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "G:\Programme\Sony Ericsson\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [SunJavaUpdateSched] "G:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [PromoReg] G:\WINDOWS\TEMP\TMPE.tmp
O4 - HKLM\..\Run: [reader_s] G:\WINDOWS\System32\reader_s.exe
O4 - HKCU\..\Run: [RocketDock] "C:\Programme\BricoPacks\Vista Inspirat 2\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [reader_s] G:\Dokumente und Einstellungen\***\reader_s.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] G:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: OneNote 2007 Bildschirmausschnitt- und Startprogramm.lnk = G:\Programme\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ?
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://G:\PROGRA~1\MICROS~4\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://G:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - G:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - G:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - G:\PROGRA~1\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - G:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - G:\PROGRA~1\MIC273~1\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - G:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - h**p://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.2.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1192205933281
O16 - DPF: {67A5F8DC-1A4B-4D66-9F24-A704AD929EEE} (System Requirements Lab) - h**p://www.nvidia.com/content/DriverDownload/srl/2.0.0.1/sysreqlab2.cab
O16 - DPF: {74DBCB52-F298-4110-951D-AD2FF67BC8AB} (NVIDIA Smart Scan) - h**p://www.nvidia.com/content/DriverDownload/nforce/NvidiaSmartScan.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - G:\PROGRA~1\MICROS~4\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - G:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: zkdxgr - G:\WINDOWS\SYSTEM32\zkdxgr32.dll
O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - G:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: DynDNS Updater Service (DynDNS_Updater_Service) - Kana Solution - G:\Programme\DynDNS Updater\DynDNS.exe
O23 - Service: FCI - Unknown owner - G:\WINDOWS\system32\svchost.exe:ext.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - G:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - G:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - G:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: MagicTuneEngine - Unknown owner - G:\Programme\MagicTune Premium\MagicTuneEngine.exe
O23 - Service: MgiSvr - ArcSoft, Inc. - G:\Programme\ArcSoft\Magic-i 3\uMgiSvr.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - G:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ServiceLayer - Nokia. - G:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service:  Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - G:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - G:\Programme\HHVcdV7Sys\VC7SecS.exe

--
End of file - 11442 bytes

Crusader 16.01.2009 20:34
Hallo Sir Hawk und :hallo:

Bevor mit einer eventuellen Bereinigung anfangen, bitte ich dich das hier zu machen:

Zitat:
Windows XP Service Pack 2
Das Service Pack, dass auf deinem Rechner installiert ist, ist nicht mehr aktuell! Service Packs erhöhen die Sicherheit deines Systems, da sie wichtige Sicherheitsupdates enthalten! Um dir das aktuelle Service Pack herunter zu laden, besuche bitte die Hersteller Seite!
Bevor du nun mit der Installation beginnst, solltest du alle deine wichtigen Daten auf einem externen Medium sichern! Danach kannst du beginnen! Zum Schluss den Computer neu starten! Danach postest du ein neues HijackThis Log!

Sir Hawk 17.01.2009 14:21
Hi Crusader,
Das mit dem Service Pack habe ich bereits versucht, nachdem dieses die PC Inventur durchführt kommt folgende Fehlermeldung:
Die Datei g:\windows\system32\drivers\ndis.sys ist geöffnet oder wird von einer anderen Anwendung verwendet. Schließen Sie alle anderen Anwendungen, und klicken Sie auf "Wiederholen". Daraufhin habe ich im Task-Manager diverse Prozesse geschlossen, offen blieben nur die Windows Prozesse. Dazu die die automatisch immer wieder starten (ich schätze von dem Virus/Trojaner) also maßenweise svchost.exe (vom System nicht vom Benutzer), BN6.tmp und weitere.

john.doe 17.01.2009 14:40
Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Code:
G:\WINDOWS\system32\svchost.exe:ext.exe
G:\WINDOWS\SYSTEM32\zkdxgr32.dll
G:\Dokumente und Einstellungen\***\reader_s.exe
G:\WINDOWS\System32\reader_s.exe
G:\WINDOWS\TEMP\TMPE.tmp
G:\Dokumente und Einstellungen\***\B.tmp
G:\WINDOWS\TEMP\jlv7.tmp
G:\WINDOWS\system32\regwiz.exe
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren. Sollte sich eine Datei nicht finden lassen, so mache weiter mit der Liste.

ciao, andreas

Sir Hawk 17.01.2009 15:26
Hi Andreas :)

G:\WINDOWS\system32\svchost.exe:ext.exe
Diese habe ich nicht finden können, statt dessen habe ich diese gescannt:
G:\WINDOWS\system32\svchost.exe
Ergebnis:
Code:
Complete scanning result of "svchost.exe", processed in VirusTotal at 01/17/2009 15:08:37 (CET).

[ file data ]
* name..: svchost.exe
* size..: 14336
* md5...: 65a819b121eb6fdab4400ea42bdffe64
* sha1..: 0dfdee2871427e9c40ec82541156884ff9b4bfa3
* peid..: -

[ scan result ]
a-squared        4.0.0.73/20090117        found nothing
AhnLab-V3        2009.1.15.0/20090117        found nothing
AntiVir        7.9.0.55/20090116        found nothing
Authentium        5.1.0.4/20090116        found nothing
Avast        4.8.1281.0/20090116        found nothing
AVG        8.0.0.229/20090116        found nothing
BitDefender        7.2/20090117        found nothing
CAT-QuickHeal        10.00/20090117        found nothing
ClamAV        0.94.1/20090117        found nothing
Comodo        934/20090117        found nothing
DrWeb        4.44.0.09170/20090117        found nothing
eSafe        7.0.17.0/20090115        found nothing
eTrust-Vet        31.6.6312/20090117        found nothing
F-Prot        4.4.4.56/20090116        found nothing
F-Secure        8.0.14470.0/20090117        found nothing
Fortinet        3.117.0.0/20090115        found nothing
GData        19/20090117        found nothing
Ikarus        T3.1.1.45.0/20090117        found nothing
K7AntiVirus        7.10.594/20090117        found nothing
Kaspersky        7.0.0.125/20090117        found nothing
McAfee        5497/20090116        found nothing
McAfee+Artemis        5497/20090116        found nothing
Microsoft        1.4205/20090117        found nothing
NOD32        3773/20090117        found nothing
Norman        5.93.01/20090116        found nothing
nProtect        2009.1.8.0/20090116        found nothing
Panda        9.5.1.2/20090117        found nothing
PCTools        4.4.2.0/20090117        found nothing
Prevx1        V2/20090117        found nothing
Rising        21.12.52.00/20090117        found nothing
SecureWeb-Gateway        6.7.6/20090116        found nothing
Sophos        4.37.0/20090117        found nothing
Sunbelt        3.2.1835.2/20090116        found nothing
Symantec        10/20090117        found nothing
TheHacker        6.3.1.5.221/20090117        found nothing
TrendMicro        8.700.0.1004/20090116        found nothing
VBA32        3.12.8.10/20090116        found nothing
ViRobot        2009.1.17.1563/20090117        found nothing
VirusBuster        4.5.11.0/20090117        found nothing

[ notes ]
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=65a819b121eb6fdab4400ea42bdffe64
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=65a819b121eb6fdab4400ea42bdffe64
G:\WINDOWS\SYSTEM32\zkdxgr32.dll
Ergebnis:
Code:
Complete scanning result of "zkdxgr32.dll", processed in VirusTotal at 01/17/2009 15:09:33 (CET).

[ file data ]
* name..: zkdxgr32.dll
* size..: 16896
* md5...: 84750408763db66975e8c72d4e8623a0
* sha1..: a4495b38258b2b606b911af8c3ac9f35fca3587a
* peid..: -

[ scan result ]
a-squared        4.0.0.73/20090117        found nothing
AhnLab-V3        2009.1.15.0/20090117        found nothing
AntiVir        7.9.0.55/20090116        found [TR/Hijacker.Gen]
Authentium        5.1.0.4/20090116        found nothing
Avast        4.8.1281.0/20090116        found nothing
AVG        8.0.0.229/20090116        found nothing
BitDefender        7.2/20090117        found [Trojan.FakeAlert.ABZ]
CAT-QuickHeal        10.00/20090117        found nothing
ClamAV        0.94.1/20090117        found [Trojan.Fakealert-532]
Comodo        934/20090117        found nothing
DrWeb        4.44.0.09170/20090117        found nothing
eSafe        7.0.17.0/20090115        found nothing
eTrust-Vet        31.6.6312/20090117        found nothing
F-Prot        4.4.4.56/20090116        found nothing
F-Secure        8.0.14470.0/20090117        found nothing
Fortinet        3.117.0.0/20090115        found nothing
GData        19/20090117        found [Trojan.FakeAlert.ABZ]
Ikarus        T3.1.1.45.0/20090117        found nothing
K7AntiVirus        7.10.594/20090117        found nothing
Kaspersky        7.0.0.125/20090117        found nothing
McAfee        5497/20090116        found [Cutwail.dll]
McAfee+Artemis        5497/20090116        found [Cutwail.dll]
Microsoft        1.4205/20090117        found [TrojanDownloader:Win32/Renos.AW]
NOD32        3773/20090117        found [a variant of Win32/Injector.CT]
Norman        5.93.01/20090116        found nothing
nProtect        2009.1.8.0/20090116        found [Trojan.FakeAlert.ABZ]
Panda        9.5.1.2/20090117        found nothing
PCTools        4.4.2.0/20090117        found nothing
Prevx1        V2/20090117        found [Cloaked Malware]
Rising        21.12.52.00/20090117        found nothing
SecureWeb-Gateway        6.7.6/20090116        found [Trojan.Hijacker.Gen]
Sophos        4.37.0/20090117        found [Troj/Agent-HNY]
Sunbelt        3.2.1835.2/20090116        found nothing
Symantec        10/20090117        found nothing
TheHacker        6.3.1.5.221/20090117        found nothing
TrendMicro        8.700.0.1004/20090116        found nothing
VBA32        3.12.8.10/20090116        found nothing
ViRobot        2009.1.17.1563/20090117        found nothing
VirusBuster        4.5.11.0/20090117        found [Trojan.FakeAlert.Gen!Pac]

[ notes ]
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=6A40529B008D3BF6424100F597A641002AAB454D
G:\Dokumente und Einstellungen\***\reader_s.exe
War nicht vorhanden.

G:\WINDOWS\System32\reader_s.exe
Ergebnis:

Code:
Ergebnis:
Datei reader_s.exe empfangen 2009.01.17 15:13:24 (CET)
Status:    Beendet
Ergebnis: 36/39 (92.31%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.73        2009.01.17        Virus.Win32.Cheburgen.a!IK
AhnLab-V3        2009.1.15.0        2009.01.17        Win32/Virut.D
AntiVir        7.9.0.55        2009.01.16        W32/Virut.Gen
Authentium        5.1.0.4        2009.01.16        W32/Virut.9264
Avast        4.8.1281.0        2009.01.16        Win32:Virut
AVG        8.0.0.229        2009.01.16        Win32/Virut
BitDefender        7.2        2009.01.17        Win32.Virtob.Gen.9
CAT-QuickHeal        10.00        2009.01.17        W32.Virut.D
ClamAV        0.94.1        2009.01.17        W32.Virut.si
Comodo        934        2009.01.17        -
DrWeb        4.44.0.09170        2009.01.17        Win32.Virut.5
eSafe        7.0.17.0        2009.01.15        -
eTrust-Vet        31.6.6312        2009.01.17        Win32/Virut.9276
F-Prot        4.4.4.56        2009.01.16        W32/Virut.9264
F-Secure        8.0.14470.0        2009.01.17        Virus.Win32.Virut.n
Fortinet        3.117.0.0        2009.01.15        W32/MetaCrypt.7
GData        19        2009.01.17        Win32.Virtob.Gen.9
Ikarus        T3.1.1.45.0        2009.01.17        Virus.Win32.Cheburgen.a
K7AntiVirus        7.10.594        2009.01.17        Virus.Win32.Virut.Generic
Kaspersky        7.0.0.125        2009.01.17        Virus.Win32.Virut.n
McAfee        5497        2009.01.16        W32/Virut.gen
McAfee+Artemis        5497        2009.01.16        W32/Virut.gen
Microsoft        1.4205        2009.01.17        Virus:Win32/Virut.AK
NOD32        3773        2009.01.17        Win32/Virut.E
Norman        5.93.01        2009.01.16        W32/Virut.D2
nProtect        2009.1.8.0        2009.01.16        Virus/W32.Virut.D
Panda        9.5.1.2        2009.01.17        W32/Virutas.gen
PCTools        4.4.2.0        2009.01.17        Win32.Virut.Gen
Prevx1        V2        2009.01.17        -
Rising        21.12.52.00        2009.01.17        Win32.Virut.aw
SecureWeb-Gateway        6.7.6        2009.01.16        Win32.Virut.Gen
Sophos        4.37.0        2009.01.17        W32/Vetor-A
Sunbelt        3.2.1835.2        2009.01.16        Trojan.Win32.Packed.gen (v)
Symantec        10        2009.01.17        W32.Virut.B
TheHacker        6.3.1.5.221        2009.01.17        W32/Virut.f
TrendMicro        8.700.0.1004        2009.01.16        PE_VIRUT.D-1
VBA32        3.12.8.10        2009.01.16        Virus.Win32.Virut.3
ViRobot        2009.1.17.1563        2009.01.17        Trojan.Win32.Downloader.28672.BPF
VirusBuster        4.5.11.0        2009.01.17        Win32.Virut.Gen
weitere Informationen
File size: 38400 bytes
MD5...: e4c8094f0188d48bc17a149f0ca05a28
SHA1..: 60436e4acb3c4a25cf1464508600ab9b7b745821
SHA256: 19251d997c0aa8c250cac880bdf06fe937a7560763fbabebf062e7d7dd419d9a
SHA512: 8966c4c4d4c4360c3ce33afed587260be15630fc8be547dbdf3ef8066c9ae06c
cbda6d8f34a23a1802136b39de1d5e867a5b95673d5a62dfe9733701163bf68e
ssdeep: 768:YF5fjfg7/GfnBgcyhCavJzjd75Bkd5XD3ULFwKxF:I5LKefnWYCzjFkduLSe
PEiD..: -
TrID..: File type identification
Generic Win/DOS Executable (49.9%)
DOS Executable Generic (49.8%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x409200
timedatestamp.....: 0x4600490f (Tue Mar 20 20:50:23 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x36a 0x400 5.50 e67a94a914647a9e5e77c896b0ac5391
.rsrc 0x2000 0x646c 0x6600 7.98 b11b7748b45b838d2fb32b2ad2f775ba
.reloc 0x9000 0x7200 0x2800 7.70 fd2b2add36ae7c06d2ed48cf9842c4ec

( 2 imports )
> KERNEL32.dll: VirtualAllocEx
> ADVAPI32.dll: RegCreateKeyW

( 0 exports )
G:\WINDOWS\TEMP\TMPE.tmp
Nicht vorhanden

G:\Dokumente und Einstellungen\***\B.tmp
Nicht vorhanden

G:\WINDOWS\TEMP\jlv7.tmp
Ergebnis:
Code:
Complete scanning result of "jlv7.tmp", processed in VirusTotal at 01/17/2009 15:12:14 (CET).

[ file data ]
* name..: jlv7.tmp
* size..: 23040
* md5...: 30dd0e96b116d9364882aa034e9b3b3d
* sha1..: c10734d7f841da499f965d805cb08c7bd78a35d1
* peid..: -

[ scan result ]
a-squared        4.0.0.73/20090117        found [Trojan-Downloader.Win32.Renos!IK]
AhnLab-V3        2009.1.15.0/20090117        found nothing
AntiVir        7.9.0.55/20090116        found [TR/Dropper.Gen]
Authentium        5.1.0.4/20090116        found nothing
Avast        4.8.1281.0/20090116        found [Win32:Trojan-gen {Other}]
AVG        8.0.0.229/20090116        found [Generic12.AONJ]
BitDefender        7.2/20090117        found [Dropped:Trojan.FakeAlert.ABZ]
CAT-QuickHeal        10.00/20090117        found nothing
ClamAV        0.94.1/20090117        found [Trojan.Fakealert-532]
Comodo        934/20090117        found nothing
DrWeb        4.44.0.09170/20090117        found [Trojan.Inject.5416]
eSafe        7.0.17.0/20090115        found nothing
eTrust-Vet        31.6.6312/20090117        found nothing
F-Prot        4.4.4.56/20090116        found nothing
F-Secure        8.0.14470.0/20090117        found [W32/Malware]
Fortinet        3.117.0.0/20090115        found [PossibleThreat]
GData        19/20090117        found [Dropped:Trojan.FakeAlert.ABZ]
Ikarus        T3.1.1.45.0/20090117        found [Trojan-Downloader.Win32.Renos]
K7AntiVirus        7.10.594/20090117        found [Trojan.Win32.Malware.1]
Kaspersky        7.0.0.125/20090117        found [Backdoor.Win32.Hijack.al]
McAfee        5497/20090116        found [Generic Downloader.x]
McAfee+Artemis        5497/20090116        found [Generic Downloader.x]
Microsoft        1.4205/20090117        found [TrojanDownloader:Win32/Renos.AW]
NOD32        3773/20090117        found [probably unknown NewHeur_PE]
Norman        5.93.01/20090116        found [W32/Malware.EZCH]
nProtect        2009.1.8.0/20090116        found [Dropped:Trojan.FakeAlert.ABZ]
Panda        9.5.1.2/20090117        found [Generic Trojan]
PCTools        4.4.2.0/20090117        found nothing
Prevx1        V2/20090117        found [Malicious Software]
Rising        21.12.52.00/20090117        found nothing
SecureWeb-Gateway        6.7.6/20090116        found [Trojan.Dropper.Gen]
Sophos        4.37.0/20090117        found [Troj/Agent-HNY]
Sunbelt        3.2.1835.2/20090116        found nothing
Symantec        10/20090117        found nothing
TheHacker        6.3.1.5.221/20090117        found [Trojan/Downloader.gen]
TrendMicro        8.700.0.1004/20090116        found [TROJ_DLOAD.CAA]
VBA32        3.12.8.10/20090116        found [suspected of Embedded.Backdoor.Win32.Hijack.ai]
ViRobot        2009.1.17.1563/20090117        found nothing
VirusBuster        4.5.11.0/20090117        found [Trojan.FakeAlert.Gen!Pac]

[ notes ]
packers (F-Prot): embedded
ThreatExpert info: http://www.threatexpert.com/report.aspx?md5=30dd0e96b116d9364882aa034e9b3b3d
Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=4C8F7A1800F4FEEE5A860082CA3FCF00943E8753
CWSandbox info: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=30dd0e96b116d9364882aa034e9b3b3d
G:\WINDOWS\system32\regwiz.exe
Ergebnis:
Code:
Datei regwiz.exe empfangen 2009.01.17 15:21:44 (CET)
Status:    Beendet
Ergebnis: 37/39 (94.88%)
 Filter
Drucken der Ergebnisse  Antivirus        Version        letzte aktualisierung        Ergebnis
a-squared        4.0.0.73        2009.01.17        Email-Worm.Win32.Mydoom.bj!IK
AhnLab-V3        2009.1.15.0        2009.01.17        Win32/Mydoom.worm.46080
AntiVir        7.9.0.55        2009.01.16        W32/Virut.Gen
Authentium        5.1.0.4        2009.01.16        W32/Virut.9264
Avast        4.8.1281.0        2009.01.16        Win32:Virut
AVG        8.0.0.229        2009.01.16        Win32/Virut
BitDefender        7.2        2009.01.17        Win32.Virtob.Gen.9
CAT-QuickHeal        10.00        2009.01.17        W32.Virut.D
ClamAV        0.94.1        2009.01.17        W32.Virut.ia
Comodo        934        2009.01.17        -
DrWeb        4.44.0.09170        2009.01.17        Win32.Virut.5
eSafe        7.0.17.0        2009.01.15        Win32.Virut.gen
eTrust-Vet        31.6.6312        2009.01.17        Win32/Virut.9276
F-Prot        4.4.4.56        2009.01.16        W32/Virut.9264
F-Secure        8.0.14470.0        2009.01.17        Virus.Win32.Virut.n
Fortinet        3.117.0.0        2009.01.15        W32/Virut.fam
GData        19        2009.01.17        Win32.Virtob.Gen.9
Ikarus        T3.1.1.45.0        2009.01.17        Email-Worm.Win32.Mydoom.bj
K7AntiVirus        7.10.594        2009.01.17        Virus.Win32.Virut.Generic
Kaspersky        7.0.0.125        2009.01.17        Virus.Win32.Virut.n
McAfee        5497        2009.01.16        W32/Virut.gen
McAfee+Artemis        5497        2009.01.16        W32/Virut.gen
Microsoft        1.4205        2009.01.17        Virus:Win32/Virut.AK
NOD32        3773        2009.01.17        Win32/Virut.E
Norman        5.93.01        2009.01.16        W32/Virut.D2
nProtect        2009.1.8.0        2009.01.16        Virus/W32.Virut.G
Panda        9.5.1.2        2009.01.17        W32/Virutas.gen
PCTools        4.4.2.0        2009.01.17        Trojan.Agent.DEL
Prevx1        V2        2009.01.17        -
Rising        21.12.52.00        2009.01.17        Win32.Virut.GEN
SecureWeb-Gateway        6.7.6        2009.01.16        Win32.Virut.Gen
Sophos        4.37.0        2009.01.17        W32/Virut-L
Sunbelt        3.2.1835.2        2009.01.16        Win32.Virut.o (v)
Symantec        10        2009.01.17        W32.Mytob@mm
TheHacker        6.3.1.5.221        2009.01.17        W32/Virut.gen
TrendMicro        8.700.0.1004        2009.01.16        PE_VIRUT.D-4
VBA32        3.12.8.10        2009.01.16        Virus.Win32.Virut.3
ViRobot        2009.1.17.1563        2009.01.17        Win32.Virut.D
VirusBuster        4.5.11.0        2009.01.17        Trojan.Agent.DEL
weitere Informationen
File size: 55808 bytes
MD5...: db42988fd95a19e4fbdf7c781ae6d6ec
SHA1..: 0df471815580c38d8d07a51103cdb8065c2bc4b3
SHA256: f4334e587ee4175ee611983b472fab6b4c33ac39198726345b937c153345375f
SHA512: 39b78fddfbf6c7573470d9d82628888efaa60a3ab6a9c272d47d48c31a0076b2
fcf970ee385be3a5c3d8c96d32f10472c12420fdc91c790365a3a565f34fcfe5
ssdeep: 1536:k+8oHDAbgO0gw/Z0HPAas5vG+dGvH3w/fGzG:kIUb3W0HYa72uwnF
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (68.0%)
Generic Win/DOS Executable (15.9%)
DOS Executable Generic (15.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x41b070
timedatestamp.....: 0x46d6fefa (Thu Aug 30 17:31:38 2007)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
UPX0 0x1000 0x10000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
UPX1 0x11000 0xb000 0xa400 7.89 10af9197e80fab3979a7535d69271f48
.rsrc 0x1c000 0x8000 0x3200 6.22 a9d52bbbe52dfe299d83f67d0096ca0b

( 4 imports )
> KERNEL32.DLL: LoadLibraryA, GetProcAddress, VirtualProtect, ExitProcess
> ADVAPI32.dll: RegCloseKey
> USER32.dll: wsprintfA
> WS2_32.dll: -

( 0 exports )

john.doe 17.01.2009 15:47
W32/Virut-A Win32-Exe-Dateivirus - Sophos Sicherheitsanalyse

Zitat:
W32/Virut-A ist ein Virus und eine IRC-Backdoor für die Windows-Plattform.

Wenn eine Datei ausgeführt wird, die mit W32/Virut-A infiziert ist, wird der Virus resident im Speicher und versucht, alle ausführbaren Dateien zu infizieren, auf die von Prozessen zugegriffen wird, die im System aktiv sind. W32/Virut-A verbreitet sich auf diese Weise sehr schnell im Dateisystem.

W32/Virut-A versucht außerdem, sich mit einem IRC-Kanal zu verbinden und so als Backdoor zu fungieren, über die ein remoter Angreifer dem System schaden kann.
Verbindung zum Internet trennen, http://www.trojaner-board.de/51262-a...sicherung.html, alle Kennwörter ändern.

ciao, andreas

Sir Hawk 17.01.2009 17:26
Eine Reperatur des PCs durch die Entfernung des Eindringlings ist also überhaupt nicht möglich?
Wenn eine Neuinstallation sein muss, muss dann die Festplatte formatiert werden um den Eindringling los zu werden? Ich habe das Problem das ich sehr viele Daten habe, also über 500GB. Diese kann ich nicht auf Wechseldatenträgern o.ä. sichern. Kann ich den Virus/Trojaner trotzdem irgendwie entfernen?

john.doe 17.01.2009 17:45
Eine Entfernung ist schon möglich, nur besteht die Möglichkeit, dass ein Mensch Zugang zu deinem Rechner hatte/hat. Was der gemacht hat oder gerade tut ist nicht feststellbar. Da liegt das Problem.

Kennst du denn niemanden, der eine externe Festplatte hat?

ciao, andreas

Sir Hawk 17.01.2009 19:16
Ich habe jetzt die Daten auf eine Festplatte eines anderen PCs spielen können (bzw. bin noch beim überspielen). Ich werde den PC jetzt einmal neu installieren usw. und melde mich dann mit neuem HiJack Log damit auch wirklich alles weg ist :) .

Vielen Dank bis hierhin!
Schönen Abend noch!

john.doe 17.01.2009 19:30
Hole dir vorher das SP3 und brenne es oder packe es auf eine externe Festplatte. Trenne die Verbindung zum Internet. Installiere. Spiel SP3 drauf und erst dann wieder ins Internet.

ciao, andreas

Downloaddetails: Windows XP Service Pack 3

undoreal 17.01.2009 19:32
Kleine Anmerkung noch:

Überprüfe die Daten vor dem Wiederaufspielen mit MWAV und 1-2 weiteren Scannern deiner Wahl.

Sir Hawk 20.01.2009 21:51
Hi zusammen,
So ich melde mich nun endlich mit dem neuen PC zurück, das SP3 ist installiert (vor dem Internet) sämtliche Updates gezogen usw. Die Dateien habe ich gescannt und tatsächlich waren sämtliche exe Dateien verseucht die ich in letzter Zeit genutzt habe. Diese sind jetzt aber entfernt. Das einzige was mir jetzt noch fehlt ist ein vernünftiger Virenscanner, mit Avira bin ich noch nicht sooo zufrieden.

Vielen Dank für die Hilfe! Jeztt wird alles wieder gut :party:

undoreal 21.01.2009 19:34
:eek: .exe Dateien solltest du eigentlich garnicht sichern!

Hier noch ein paar Sachen damit der Rechner danach auch sauber bleibt..
  • Installiere keine Anti-Spyware/Anti-Malware oder sonstige "Sicherheits"-Programme sondern nur ein normales AntiViren Programm wie zum Beispiel: Avira AntiVir free, Panda, Kaspersky Internet Security Suite oder avast free.
    Mit einem Anti-Malware-Scanner ohne Wächter wie SuperAntiSpyware oder Anti-Malware kann der PC bei Verdacht überprüft werden.
    .
  • Halte immer alle Anwendungen aktuell (Secunia PSI kann hier wertvolle Hilfe leisten).
    .
  • Update die Viren-Signaturen deines Anti-Viren Programmes reglemäßig.
    .
  • Beachte bitte, dass jegliche Anti-Viren Scanner (auch in Kombination) nur einen Bruchteil aller Schädlinge finden!
    .
  • Update auch regelmäßig die Hardwaretreiber (Grafikkarte, Soundkarte).
    .
  • Das Windows Update sollte automatisch erfolgen -> Der Frischmacher.
    .
  • Das aktuelle ServicePack sollte installiert sein:.
  • Eine vernünftige Ordneransicht erschwert es Malware sich vor dir zu verstecken -> Einstellungen.
    .
  • Bei Windows Vista können einige Dienste deaktiviert werden: TechNET
    .
  • Windows-Firewall aktivieren: (Wenn beim installiertem AV-Prog eine Firewall dabei ist so kann diese verwendet werden!).
  • Internetoptionen sicher gestallten: Start->Systemsteuerung->Internetoptionen
    • Sicherheit: -> höchste Stufe
      Wähle danach: Stufe anpassen. Ändere die Einstellung: Anwendungen und uns. Dateien starten -> "Bestätigen"
      und Installation von Desktopobj. -> "Bestätigen".
    • Datenschutz: -> alle Cookies blockieren
    Nutze nicht den MS-InternetExplorer sondern einen alternativen Browser wie FireFox, Opera o.ä..
    .
  • Räume den Rechner regelmäßig mit dem cCleaner auf; Punkte 1&2.
    .
  • Als letztes der wichtigste Punkt: Downloade dir keine illegalen oder nicht vertrauenswürdigen Daten aus dem Internet! Besonders Filesharing Tauschbörsen wie eMule, Kazaa, Bittorrent und andere Peer-to-Peer (P2P) Netzwerke sind extrem gefährlich! Sehr häufig sind die Dateien mit Schädlingen infiziert die von keinem Virenscanner entdeckt werden!!
    .
    Allgemeine Informationen zu dieser Problematik

Häufig gestellte Fragen: XP | Vista



Zusätzlich kannst du natürlich immer gerne hier posten wenn du absolut nicht weiterkommst.. ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:32 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131