|
Trojaner-Vermutung Hallo. Ich habe das Bedenken, dass ich mir einen Trojaner eingefangen habe, da ich ständig Meldungen bekomme, dass ich einen Trojaner in 'C:\WINDOWS\system32\drivers\fips32cup.sys' habe. Zudem bekomme ich ständig die Meldung, dass 'svchost.exe' geschlossen wird. Mein ANti-Viren-System kann sich leider auch nicht mehr updaten. Was ich bisher gemacht habe, ist 'Spybot-SD' und 'Malwarebytes' Anti-Virensystem' durchlaufen zu lassen, wobei ich bei beiden eine Menge an Treffern bekam, dann nochmal drüberlaufen ließ und dann beide keine Treffer mehr anzeigten. Ich hoffe, Ihr könnt mir weiterhelfen. Hier mein Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:24:21, on 13.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\TUProgSt.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\wscntfy.exe C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Moilla Firefox\firefox.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\Dokumente und Einstellungen\***\***exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Markus] C:\Dokumente und Einstellungen\***\***.exe /i O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - Global Startup: Adobe Reader - Schnellstart.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmhcvei.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 5330 bytes |
Hallöle geissi :hallo: Poste bitte den Malwarebytes und Spybot Bericht und poste auch die AntiVir Meldungen. Die kompletten Dateipfade und die Schädlingsbezeichnungen sind sehr wichtig. Wie heisst die .exe Datei hier? Zitat:
|
Also: Bei der .exe Datei steht mein Name drin. Hier die letzten Berichte von Antivir: C:\WINDOWS\system32\drivers\fips32cup.sys Ist das Trojanische Pferd TR/Crypt.XDR.Gen C:\WINDOWS\system32\drivers\nicsk32.sys Ist das Trojanische Pferd TR/Crypt.XDR.Gen C:\WINDOWS\system32\drivers\port135sik.sys Ist das Trojanische Pferd TR/Crypt.XDR.Gen C:\WINDOWS\system32\drivers\securentm.sys Ist das Trojanische Pferd TR/Crypt.XDR.Gen Nachfolgend kommen die letzen Berichte von Malwarebytes und Spybot. Falls Ihr die davor liegenden auch benötigt, müsst Ihr mal kurz anfragen. Malwarebytes: Malwarebytes' Anti-Malware 1.36 Datenbank Version: 1945 Windows 5.1.2600 Service Pack 3 14.04.2009 13:24:49 mbam-log-2009-04-14 (13-24-47).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|G:\|) Durchsuchte Objekte: 121206 Laufzeit: 17 minute(s), 20 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 7 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\WINDOWS\system32\drivers\securentm.sys (Rootkit.Agent) -> No action taken. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\BN10.tmp (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\BN11.tmp (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\BN13.tmp (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\BN14.tmp (Trojan.Agent) -> No action taken. C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\BN15.tmp (Trojan.Agent) -> No action taken. C:\WINDOWS\Temp\BN12.tmp (Trojan.Agent) -> No action taken. Den Spybot-Bericht reiche ich dir nachher dann nach. Ich hoffe, die bisherigen Berichte bringen Euch etwas. |
hallo und :hallo: hast du die infizierten dateien gelöscht? wenn nicht mach das bitte!!!! danach mach bitte noch ein neues update!!!!! mfg SkyFire |
Die Dateien von Malwarebytes habe ich gelöscht ja. Das Update von Malwarebytes funzt aber nie, weil immer eine Fehlermeldung kommt, dass es geschlossen werden muss. Was soll ich denn eigentlich bei den Meldungen von Antivir machen? Es zeigt ja immer den gleichen Trojaner an. Hier ein Bericht von Spybot: --- Spybot - Search & Destroy version: 1.6.2 (build: 20090126) --- 2009-01-26 blindman.exe (1.0.0.8) 2009-01-26 SDFiles.exe (1.6.1.7) 2009-01-26 SDMain.exe (1.0.0.6) 2009-01-26 SDShred.exe (1.0.2.5) 2009-01-26 SDUpdate.exe (1.6.0.12) 2009-01-26 SpybotSD.exe (1.6.2.46) 2009-03-05 TeaTimer.exe (1.6.6.32) 2009-04-12 unins000.exe (51.49.0.0) 2009-01-26 Update.exe (1.6.0.7) 2009-01-26 advcheck.dll (1.6.2.15) 2007-04-02 aports.dll (2.1.0.0) 2008-06-14 DelZip179.dll (1.79.11.1) 2009-01-26 SDHelper.dll (1.6.2.14) 2008-06-19 sqlite3.dll 2009-01-26 Tools.dll (2.1.6.10) 2009-01-16 UninsSrv.dll (1.0.0.0) 2009-03-25 Includes\Adware.sbi 2009-03-25 Includes\AdwareC.sbi 2009-01-22 Includes\Cookies.sbi 2009-03-31 Includes\Dialer.sbi 2009-03-25 Includes\DialerC.sbi 2009-01-22 Includes\HeavyDuty.sbi 2009-02-10 Includes\Hijackers.sbi 2009-03-03 Includes\HijackersC.sbi 2009-03-17 Includes\Keyloggers.sbi 2009-03-17 Includes\KeyloggersC.sbi 2004-11-29 Includes\LSP.sbi 2009-04-07 Includes\Malware.sbi 2009-04-07 Includes\MalwareC.sbi 2009-03-25 Includes\PUPS.sbi 2009-03-31 Includes\PUPSC.sbi 2009-01-22 Includes\Revision.sbi 2009-01-13 Includes\Security.sbi 2009-03-23 Includes\SecurityC.sbi 2008-06-03 Includes\Spybots.sbi 2008-06-03 Includes\SpybotsC.sbi 2009-04-07 Includes\Spyware.sbi 2009-04-07 Includes\SpywareC.sbi 2009-04-07 Includes\Tracks.uti 2009-04-08 Includes\Trojans.sbi 2009-04-07 Includes\TrojansC.sbi 2008-03-04 Plugins\Chai.dll 2008-03-05 Plugins\Fennel.dll 2008-02-26 Plugins\Mate.dll 2007-12-24 Plugins\TCPIPAddress.dll --- System information --- Windows XP (Build: 2600) Service Pack 3 (5.1.2600) / MSXML4SP2: Security update for MSXML4 SP2 (KB954430) / Windows Media Player: Sicherheitsupdate für Windows Media Player (KB952069) / Windows XP: Sicherheitsupdate für Windows XP (KB923689) / Windows XP: Sicherheitsupdate für Windows XP (KB941569) / Windows XP / SP3: Update für Windows XP (KB898461) / Windows XP / SP3: Windows XP Service Pack 3 / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB938464-v2) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB946648) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950760) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950762) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB950974) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951066) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951376-v2) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951698) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB951748) / Windows XP / SP4: Update für Windows XP (KB951978) / Windows XP / SP4: Hotfix für Windows XP (KB952287) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB952954) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954459) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB954600) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB955069) / Windows XP / SP4: Update für Windows XP (KB955839) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956802) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956803) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB956841) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB957097) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958215) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958644) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958687) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB958690) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960225) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960714) / Windows XP / SP4: Sicherheitsupdate für Windows XP (KB960715) / Windows XP / SP4: Update für Windows XP (KB967715) |
1.) Zitat:
2.)hol dir mal bitte superantispyware von hier!!!! (dabei ist auch die anleitung!!!) mach damit dann bitte auch noch ein update und poste es hierher!!! mfg SkyFire |
Ich habe noch nie ein Update mit Malewarebytes gemacht. Bisher nur runtergeladen und den Scan durchlaufen lassn. Das andere lade ich mir jetzt. |
ach und mache bitte nochmal das hier mit HJT: Starte nochmals HijackThis * Klick "open the Misc Tools section" * Klick "Open Uninstall Manager" * Klick "Save List" (jetzt wird eine uninstall_list.txt im Ordner HijackThis angelegt.) * Diese Datei öffnest du, und kopiertst ihren Inhalt hier in deinem Thread. die liste postest du mir dann bitte wieder!!! mfg SkyFire |
Ich muss sagen, ich habe die Befürchtung, dass sich das Programm wieder nicht updaten lässt. Soll ich jetzt trotzdem einen Scan durchführen lassen? |
ohhhh.... ich glaube du hast mich falsch verstanden für mich ist update gleich suchlauf!!!!! mach dann bitte noch einen "suchlauf"!!! mfg SkyFire |
ich hbae oftmals diesen eintrag gesehen O4 - HKCU\..\Run: [Markus] C:\Dokumente und Einstellungen\***\***.exe /i hast dzu da gemacht (dickgedrukt) rest überlasse ich skyfire mfg RushHour777 |
Ich weiß selbst nicht so genau, warum das dabei ist. Hatte eigentlich nebenher keine Aktivität laufen. Habe jetzt aber ne Meldung mit einem anderen Trojanischen Pferd von AntiVir: C:\System Volum Information\...\A0001144.dll Ist das Trojanische Pferd TR/Dldr.Delphi.Gen |
1.) Zitat:
2.) Zitat:
3.) mach bitte die suchläufe und poste sie mir!!!! mfg SkyFire |
mein Suchlauf von SUPER AntiSpyware läuft schon.. ;) nur das schon über eine Stunde.. |
|
@SkyFire: Satzzeichen sind keine Rudeltiere.. ;) Halte dich bitte ein bischen zurück und gebe nur dann Hilfe wenn du wirklich weisst was du tust. Das bezweifel ich grade ein bischen. Generell gilt folgendes: http://www.trojaner-board.de/69603-f...dem-forum.html @geissi: Ich benötige den vollen Dateipfad hier: Zitat:
Danach geht es weiter. Alle anderen Hilfestellungen ignoriere bitte vorerst. |
Müsste ich dir geschickt haben. Denke aber, dass das eine Profilnachricht gewesen sein dürfte. |
=) jo. War eine Profilnachricht. Ich hab's wieder raus genommen. Wenn da dein Nachname nicht drinn steht musst du auch nicht unbedingt editieren.. ;) Dateien Online überprüfen lassen: * Lasse dir auch die versteckten Dateien anzeigen! * Rufe die Seite Virtustotal auf. * Dort suche über den "Durchsuchen"-Button folgende Datei raus und lade sie durch Druck auf den "Senden der Datei"-Button hoch. Zitat:
* Sollte die Datei bereits analysiert worden sein so lasse sie unbedingt trotzdem nocheinmal analysieren! * Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen. GMER - Rootkit Detection
|
Ich habe folgende Fragen: Soll ich nur die Datei C:\Dokumente und Einstellungen\Markus\Markus.exe hochladen oder auch andere? Bei der Datei kommt: Die Datei wurde bereits analysiert: MD5: 69492a0890932e58e21626c04efb69f6 First received: 2009.04.11 19:35:04 (CET) Datum 2009.04.13 17:06:42 (CET) [+1D] Ergebnisse 10/40 Permalink: analisis/58996bb694b3be5a0f74a18388b56567 Der Permalink führt zu der Website: http://www.virustotal.com/de/analisis/58996bb694b3be5a0f74a18388b56567 Und eine weitere Frage: Was soll ich denn eigentlich bei den Meldungen von AntiVir machen? Soll ich da die Viren immer in die Quarantäne verschieben? |
Du solltest nur die eine hochladen, ja. Bei dir läuft wie vermutet ein Backdoor Trojaner. Der ermöglicht VollZugriff auf deinen Rechner und ist deentsprechend gefährlich. Du solltest deinen Rechner neuaufsetzten um keine ganz bösen Überraschungen zu erleben. Bereinigung nach einer Kompromitierung Hinweis: Die Analyse eines Virenscanners ist völlig unzureichend, um Aussagen über das System zu machen, kann aber als Hilfsmittel eingesetzt werden, sofern er von einem sauberen System aus betrieben wird. Leider tauchen momentan immer mehr Schädlinge auf die sich in den Master Boot Record, kurz MBR einschreiben. Dieser wird bei einer herkömmlichen Neuinstallation nicht komplett überschrieben und stellt somit ein erhebliches Sicherheitsrisiko dar. Vor der Neuinstallation sollte daher sichergegangen werden, dass der MBR in Ordnung ist. Master Boot Record überprüfen: Lade dir die mbr.exe von gmer auf den Desktop und führe die Datei mit Administrator-Rechten aus. Sollte ein MBR Rootkit gefunden worde sein, das wird im log durch den Ausdruck Zitat:
Downloade dir dafür die mbr.bat.txt von BataAlexander und speichere sie neben der mbr.exe auf dem Desktop.Nachdem das O.k. durch deinen Helfer gegeben wurde kannst du mit der sicheren Neuinstallation beginnen. Lies dir bitte bevor du dich an die Arbeit machst folgende Anleitung ganz genau durch:Nachdem du neuaufgesetzt hast musst du unbedingt alle Passwörter und Zugangsaccounts ändern!!! |
Ich muss sagen, dass ich glaube, die Überprüfung der alten Datei zu dir geschickt zu haben. Sie wird in 13 bis 19 Minuten neu überprüft. Was soll ich jetzt machen? Ich habe gerade schon gmer laufen. |
Hier nun die neue Überprüfung: Datei Markus.exe empfangen 2009.04.14 18:19:10 (CET) Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt Ergebnis: 19/40 (47.5%) Laden der Serverinformationen... Ihre Datei wartet momentan auf Position: 3. Geschätzte Startzeit ist zwischen 70 und 100 Sekunden. Dieses Fenster bis zum Abschluss des Scans nicht schließen. Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen. Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut. Ihre Datei wird momentan von VirusTotal überprüft, Ergebnisse werden sofort nach der Generierung angezeigt. Filter Filter Drucken der Ergebnisse Drucken der Ergebnisse Datei existiert nicht oder dessen Lebensdauer wurde überschritten Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet. SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist. Email: Antivirus Version letzte aktualisierung Ergebnis a-squared 4.0.0.101 2009.04.14 Virus.Win32.Rootkit.CF!IK AhnLab-V3 5.0.0.2 2009.04.14 Win-Trojan/Agent2.20435.B AntiVir 7.9.0.143 2009.04.14 TR/Kobcka.HV.4 Antiy-AVL 2.0.3.1 2009.04.14 - Authentium 5.1.2.4 2009.04.14 - Avast 4.8.1335.0 2009.04.14 Win32:Rootkit-CF AVG 8.5.0.285 2009.04.14 Downloader.Small.FQL BitDefender 7.2 2009.04.14 Trojan.Kobcka.HV CAT-QuickHeal 10.00 2009.04.14 - ClamAV 0.94.1 2009.04.14 - Comodo 1113 2009.04.14 - DrWeb 4.44.0.09170 2009.04.14 Trojan.DownLoad.33158 eSafe 7.0.17.0 2009.04.13 - eTrust-Vet 31.6.6455 2009.04.14 - F-Prot 4.4.4.56 2009.04.14 - F-Secure 8.0.14470.0 2009.04.14 - Fortinet 3.117.0.0 2009.04.14 PossibleThreat GData 19 2009.04.14 Trojan.Kobcka.HV Ikarus T3.1.1.49.0 2009.04.14 Virus.Win32.Rootkit.CF K7AntiVirus 7.10.700 2009.04.11 - Kaspersky 7.0.0.125 2009.04.14 - McAfee 5584 2009.04.14 - McAfee+Artemis 5584 2009.04.14 Generic!Artemis McAfee-GW-Edition 6.7.6 2009.04.14 Trojan.Kobcka.HV.4 Microsoft 1.4502 2009.04.14 - NOD32 4007 2009.04.14 Win32/TrojanDownloader.Wigon.CA Norman 6.00.06 2009.04.14 - nProtect 2009.1.8.0 2009.04.14 - Panda 10.0.0.14 2009.04.14 Suspicious file PCTools 4.4.2.0 2009.04.14 - Prevx1 V2 2009.04.14 High Risk Cloaked Malware Rising 21.25.14.00 2009.04.14 Trojan.DL.Win32.Nodef.kr Sophos 4.40.0 2009.04.14 Mal/Pushdo-A Sunbelt 3.2.1858.2 2009.04.13 - Symantec 1.4.4.12 2009.04.14 Downloader TheHacker 6.3.4.0.306 2009.04.12 Trojan/Agent2.hoy TrendMicro 8.700.0.1004 2009.04.14 - VBA32 3.12.10.2 2009.04.12 - ViRobot 2009.4.14.1692 2009.04.14 - VirusBuster 4.6.5.0 2009.04.14 - weitere Informationen File size: 20435 bytes MD5...: 69492a0890932e58e21626c04efb69f6 SHA1..: 5b43be26ed55ac515c9ef17728d3d50abfd4c356 SHA256: bf49a2d87c50afd26d6d3420eedd633d50c4b12403c3fa1f47943b9b9fec2d62 SHA512: 121781d59fe90f981223c7569901ed636dbcaafe9f687c14e0ec1db3ef68c893 b22de663c21090eecbe2ff5e59bcd052f523e3b132dfe1a7d46df9e322315ce9 ssdeep: 384:1VUAbNOcTwazhhpfY57XoLrbOywc2CsGwYijX/1WEPOn:1K+9dfYxXA+aZEP 1WEPI PEiD..: - TrID..: File type identification Win32 Executable Generic (42.3%) Win32 Dynamic Link Library (generic) (37.6%) Generic Win/DOS Executable (9.9%) DOS Executable Generic (9.9%) VXD Driver (0.1%) PEInfo: PE Structure information ( base data ) entrypointaddress.: 0x114c timedatestamp.....: 0x49df1343 (Fri Apr 10 09:37:07 2009) machinetype.......: 0x14c (I386) ( 3 sections ) name viradd virsiz rawdsiz ntrpy md5 .text 0x1000 0x988 0x98c 6.48 9264ba40ea914701e240e2748591c773 .data 0x2000 0x45e 0x460 4.88 56cf267339276447a2da941f557ce9f9 .rsrc 0x3000 0x3dd0 0x3dd3 7.98 045d88849fbe747f1672f04de7bd5227 ( 2 imports ) > KERNEL32.dll: CreateThread, ExitProcess, ExitThread, GetLastError, GetModuleHandleA, GetSystemInfo, GetVersionExA, LocalAlloc, WaitForSingleObject > USER32.dll: BeginPaint, BlockInput, CharUpperA, CreateDialogParamA, CreateWindowExA, DefWindowProcA, DispatchMessageA, EndDialog, EndPaint, FindWindowA, GetAsyncKeyState, GetClassInfoExA, GetMessageA, GetSystemMetrics, GetTopWindow, LoadCursorA, LoadIconA, MessageBoxA, RegisterWindowMessageA, SetDlgItemInt, SetFocus, SetWindowTextA, ShowWindow, TranslateMessage, UpdateWindow ( 0 exports ) RDS...: NSRL Reference Data Set - Prevx info: <a href='http://info.prevx.com/aboutprogramtext.asp?PX5=C8BD6751D3C1436A4FA30000BB355E00AA76C5A6' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=C8BD6751D3C1436A4FA30000BB355E00AA76C5A6</a> ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=69492a0890932e58e21626c04efb69f6' target='_blank'>http://www.threatexpert.com/report.aspx?md5=69492a0890932e58e21626c04efb69f6</a> |
Der Bericht von GMER ist leider zu lang für das Forum mit 134026 Zeichen. Falls jemand daran interessiert ist, soll er sich melden.. |
Das kam bei der mbr.exe heraus: Stealth MBR rootkit detector 0.2.4 by Gmer, http://www.gmer.net device: opened successfully user: MBR read successfully kernel: MBR read successfully user & kernel MBR OK |
Lade das Gmer-Log bei einem Filehoster hoch (z.B. www.materialordner.de) und poste den Link. Das hier hast du hoffentlich gelesen? ciao, andreas |
Ich habe den Link ziemlich gelesen, ja. Nun wollte ich aber fragen, was aufgrund meines Logs der mbr.exe Datei zu tun ist. |
Lade bitte das Gmer-Log hoch und poste den Link. Das MBR-Log sagt, dass dein MBR sauber ist. ciao, andreas |
Ich lasse gerade nochmal GMER durchlaufen. Danach lade ich es hoch. |
Hier der Link: http://www.materialordner.de/ccFf7cLfPjbzWzY2q9LzWTKswOwZ5am7.html |
Schau selbst: http://www.bitdefender.de/VIRUS-1000...an.kobcka.html Neuinstallation ist in jedem Fall der schnellere und sicherere Weg. Poste bitte ein aktuelles HJT-Log. ciao, andreas |
Auf der Seite war eben mein Virus oder? Ich habe mal eine Frage und zwar, was soll ich denn grundsätzlich machen, wenn ich von AntiVir eine Meldung von einem Virus bekomme? Soll ich ihn in die Quarantäne verschieben, ihn löschen oder was ganz anderes? Hier der Bericht: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:58:54, on 14.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\Programme\Moilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\System32\svchost.exe C:\Dokumente und Einstellungen\Markus\Markus.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [Markus] C:\Dokumente und Einstellungen\Markus\Markus.exe /i O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\mmmhcvei.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 5553 bytes |
Trenne den Rechner vom Netz und setze ihn neu auf! Zitat:
Quarantäne ist nie verkehrt. |
Starte HJT => Do a system scan only => Markiere: Zitat:
ciao, andreas |
Habe das eben gemacht. Hier das Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:19:49, on 14.04.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir Desktop\sched.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre6\bin\jusched.exe C:\Programme\Avira\AntiVir Desktop\avgnt.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe C:\Programme\Moilla Firefox\firefox.exe C:\Programme\Avira\AntiVir Desktop\avguard.exe C:\Programme\Java\jre6\bin\jqs.exe C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\HPZipm12.exe C:\WINDOWS\System32\TUProgSt.exe C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe C:\WINDOWS\System32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe -- End of file - 5237 bytes |
1.) Deinstalliere Spybot und SuperAntiSpyware. 2.) Falls du noch irgendetwas hast, dass du mit dem Computer verbindest, wie Speicherkarten, USB-Sticks, externe Festplatten, ... dann stecke alles an. ComboFix Achtung: Die Anleitung ist veraltet. Den Teil mit der Systemwiederherstellungskonsole nicht ausführen. Die wird bei Internetverbindung automatisch installiert. Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. ciao, andreas |
Ich habe eine Frage zu 2. Muss ich da denn alles anstecken, wenn ich externe Festplatten oder USB-Sticks habe? Was bringt es mir denn dann? Daten habe ich größtenteils schon runtergesichert. |
Zitat:
Zitat:
Zitat:
ciao, andreas |
Ich habe mit CCleaner das System bereinigt. Nur eine Datei in der Registry lässt sich einfach nicht löschen: Ungenutzte Datei-Endungen {80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} HKCR\{80b8c23c-16e0-4cd8-bbc3-cecec9a78b79} Und ich wollte sagen, dass sich heute mein AntiVir mal wieder geupdatet hat. Das ging ja die ganze Zeit nicht. |