|
TR/Drop/Small.NK HI, ich hatte kürzlich TR/Drop/Small.NK auf dem Rechner. Keine Ahnung, woher. "AntiVir" hat Alarm geschlagen und gelöscht. Trotzdem habe ich seitdem beim Online-Scan von HoouseCall immer wieder eine Trojanermeldung in C:\Temp. Die Datei heißt immer wieder anders: V39C3CA01368 oder V3BC3CA00504 oder V3A43CA01328 oder oder oder... Es hat nicht gebracht, das Temp-Verzeichnis zu löschen, die Systemwiederherstellung zu deaktivieren, neu zu starten und wieder zu aktivieren. Spybot-Search&Destroy bringt keine Abhilfe, auch CWS-Shredder nicht und selbst der eScan findet nix. Wie werd ich den Mist bloß los ??? Logfile of HijackThis v1.98.2 Scan saved at 19:16:13, on 02.01.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe C:\WINDOWS\System32\taskswitch.exe C:\WINDOWS\mHotkey.exe C:\Programme\Multimedia Card Reader\shwicon2k.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe C:\Programme\Logitech\MouseWare\system\em_exec.exe C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe C:\Programme\Trojancheck 6\tcguard.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\KodakCCS.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\ScsiAccess.EXE C:\WINDOWS\System32\svchost.exe c:\PROGRA~1\Clipinc\Server\ClipInc-Server.exe C:\WINDOWS\System32\Fast.exe C:\Programme\Internettools\hjt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hyrican.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - Default URLSearchHook is missing O1 - Hosts: 212.33.69.3 js1.hitbox.com O1 - Hosts: 212.33.69.3 stats.hitbox.com O1 - Hosts: 212.33.69.3 pagead2.googlesyndication.com O1 - Hosts: 212.33.69.3 m1.nedstatbasic.net O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [pdfFactory Dispatcher v1] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fppdis1.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CoolSwitch] C:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [FastUser] C:\WINDOWS\System32\fast.exe O4 - HKLM\..\Run: [CHotKey] mHotkey.exe O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe O4 - HKLM\..\Run: [Sunkist2k] C:\Programme\Multimedia Card Reader\shwicon2k.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v4] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp4.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [WinPatrol] "C:\PROGRA~1\BILLPS~1\WINPAT~1\WinPatrol.exe" O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: FRITZ!web.lnk = C:\Programme\FRITZ!\FriWeb32.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Birthday.exe.lnk = C:\Programme\Birthday\Birthday.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1104418148375 O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.com/scan/Msie/bitdefender.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{FDE324E6-924A-4E43-BF78-F05AD52CE9A8}: NameServer = 192.168.120.252,192.168.120.253 Wer kann mir weiter helfen ???? :confused: Biott |
Fixe doch mal: O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab R3 - Default URLSearchHook is missing O1 - Hosts: 212.33.69.3 js1.hitbox.com O1 - Hosts: 212.33.69.3 stats.hitbox.com O1 - Hosts: 212.33.69.3 pagead2.googlesyndication.com R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hyrican.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.hyrican.de O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.d O1 - Hosts: 212.33.69.3 m1.nedstatbasic.net |
Danke RWE-ler, hab ich gemacht. Aber das Problem ist leider nicht behoben. :heulen: Habe in "Killbox" unter C:\ Dateien gefunden, die mir suspekt erscheinen: TempIadHide3.dll 78875.sym 23990098.$$$ WINDOWSkj01d.sys Weiß jemand, ob das "normal" ist ??? Biott |
Hallo Leut's, ich habs gefunden !!!! :daumenhoc Der Übeltäter war O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll Nach dem Fix und erneuten Internetbesuchen war keine neue TR/Drop/Small.NK - Datei mehr auffindbar ! Also wieder mal eine Warnung, alle IE-Helper zu blockieren, auch wenn sie noch so vertrauenswürdig erscheinen ! Biott :party: |
@Biott besser wäre es den firefox als browser zu benützen, den IE nur noch zum windowsupdate nützen chaosman |
Danke chaosman für den Tip. Werde ich machen. Im Windows-Verzeichnis hat mein Security-Task-Manager übrigens eine äußerst fragwürdige Datei ohne jegliche Beschreibung gefunden: ahf.dll Ich habe sie umbenannt in ahf.txt - erst mal sehen, was passiert. Kann das ein weiteres Überbleibsel sein ?? Biott |
|
Habe die Datei ahf.dll online scannen lassen auf der Seite und das Ergebnis "infected" erhalten. Dateien im Windows-Verzeichnis ohne jegliche Beschreibungen sollten von vorn herein als suspekt gelten... Den Security-Task-Manager, der die Datei fand, ist zu holen unter http://www.neuber.com/taskmanager/deutsch/download.html . Kann ich nur empfehlen. Zum Download steht eine 30-Tage Testversion zur Verfügung. Biott |
Bitte, köntest Du das Ergebnis, das Jotti ergeben hat, mal posten? |
Okay, hier das Ergebnis von Jotti: File: ahf.dll Status: MIGHT BE INFECTED/MALWARE (Sandbox emulation took a long time and/or runtime packers were found, this is suspicious. Normally programs aren't packed and don't force the sandbox into lengthy emulation. Do realize no scanner issued any warning, the file can very well be harmless. Caution is advised, however.) (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: UPX AntiVir No viruses found (0.14 seconds taken) Avast No viruses found (1.54 seconds taken) BitDefender No viruses found (0.38 seconds taken) ClamAV No viruses found (0.41 seconds taken) Dr.Web No viruses found (0.53 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus No viruses found (0.65 seconds taken) mks_vir No viruses found (0.23 seconds taken) NOD32 No viruses found (0.41 seconds taken) Norman Virus Control No viruses found (0.12 seconds taken) |
@ Biott Zitat:
Überprüfe Deinen Rechner nun mit dem eScan. Erstelle einen neuen Ordner (=Verzeichnis) "c:\bases". Downloade den eScan. Beachte dazu die Anleitung im Link. Entpacke den eScan in den neuen Ordner "bases" auf "C:". Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) SD |
Hier meine Ergebnisse des eScans: Sat Jan 08 13:04:49 2005 => Total Files Scanned: 55887 Sat Jan 08 13:04:49 2005 => Total Virus(es) Found: 15 Sat Jan 08 13:04:49 2005 => Total Disinfected Files: 0 Sat Jan 08 13:04:49 2005 => Scan Completed. Sat Jan 08 12:47:57 2005 => File C:\WINDOWS\system32\f3PSSavr.scr infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:18:45 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:43 2005 => File C:\Programme\MyWebSearch\bar\1.bin\MWSOESTB.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:43 2005 => File C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\M3SKIN.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\M3OUTLCN.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3WPHOOK.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3SCHMON.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3RESTUB.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3PSSAVR.SCR infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3POPSWT.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3HTMLMU.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:16:42 2005 => File C:\Programme\MyWebSearch\bar\1.bin\F3HISTSW.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sat Jan 08 12:00:48 2005 => File C:\WINDOWS\System32\f3PSSavr.scr infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken. Sieht ganz so aus, als wäre mein AntiVir infiziert, oder wie sehe ich das ??? Die "ahf.dll" habe ich passwortgeschützt an die angegebene eMail-Adresse geschickt. Die Mail kam leider zurück - die eMail-Adresse scheint es nicht zu geben. (???) Biott |
|
sorry, hab den Fehler schon entdeckt (hatte einen Buchstaben vergessen...) :headbang: Die Datei müsste jetzt angekommen sein. Biott |
Datei ist da. Wo hast du die Datei gefunden? Pfadangabe wäre nützlich. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:19 Uhr. |
Copyright ©2000-2025, Trojaner-Board