Problem mit verschiedenen Trojanern und Exploits
 

Hallo!
In letzter Zeit hat mein Antivir immer wieder JS-Exploits und Trojaner gefunden.
Der letzte, der laut Antivir auch removed wurde, war TR/click.noname.a. Jetzt hab ich mir mal wegen dieses häufigen Vorkommens HJT runtergeladen und im normalen Windows Modus ein Logfile gemacht:

Logfile of HijackThis v1.99.1
Scan saved at 12:46:05, on 18.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\RedLine\Taskbar.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe
C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\redline\gameutil.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQ\ICQ.exe
C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\AVPersonal\UPDATE\antivir_workstation_win_de_h.exe
C:\DOKUME~1\Marius\LOKALE~1\Temp\WZSE2.TMP\disk_1\setup.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\AVPersonal\AVWIN.EXE
C:\Programme\Mozilla Firefox\firefox.exe
D:\Downloads\Programme\Antivir\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\Programme\Gemeinsame Dateien\ReGet Shared\Catcher.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\Programme\ReGetDx\iebar.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RedLine Taskbar] C:\Programme\RedLine\Taskbar.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe
O4 - HKLM\..\Run: [Device Detector] "C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetect.exe" -autorun
O4 - HKLM\..\Run: [NVMixerTray] "C:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\Programme\ICQ\NDetect.exe
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: gameutil.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: A&lles mit ReGet Deluxe herunterladen - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_All.htm
O8 - Extra context menu item: Herunterladen mit Re&Get Deluxe - C:\Programme\Gemeinsame Dateien\ReGet Shared\CC_Link.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Programme\ICQ\ICQ.exe
O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct2_x.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1102455049468
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

Sind da noch irgendwelche Trojaner drauf, weil die halt immer wieder kommen irgendwie und was muss ich machen, um die loszuwerden?

MfG,
mab

Hi,

in Deinem Logfile kann ich nicht's schlechtes erkennen, ich würde vorschlagen scanne Dein System mal mit eScan. Haken setzen bei "All Local Drives und Scan All Files" siehe Beschreibung

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Fri Mar 18 17:20:24 2005 => Total Files Scanned: 139644
Fri Mar 18 17:20:24 2005 => Total Virus(es) Found: 7
Fri Mar 18 17:20:24 2005 => Total Disinfected Files: 0
Fri Mar 18 17:20:25 2005 => Total Files Renamed: 0
Fri Mar 18 17:20:25 2005 => Total Deleted Files: 0
Fri Mar 18 17:20:25 2005 => Total Errors: 115
Fri Mar 18 17:20:25 2005 => Time Elapsed: 03:17:01
Fri Mar 18 17:20:25 2005 => Virus Database Date: 2005/03/17
Fri Mar 18 17:20:25 2005 => Virus Database Count: 122324


[msvLclnt.dll] [0x000003e8] 18/03/2005 14:14:43:765 :[00000001] File C:\DOKUME~1\Marius\LOKALE~1\TEMPOR~1\Content.IE5\NNTFNT4W\ActiveSecurity[1].cab infected by VirTool.Win32.Collector
[msvLclnt.dll] [0x000003e8] 18/03/2005 14:59:30:375 :[00000001] File C:\Dokumente und Einstellungen\Marius\Lokale Einstellungen\Temporary Internet Files\Content.IE5\NNTFNT4W\ActiveSecurity[1].cab infected by VirTool.Win32.Collector
[msvLclnt.dll] [0x000003e8] 18/03/2005 15:38:40:312 :[00000001] File C:\Programme\mIRC\mirc32.exe infected by not-a-virus:RiskWare.mIRC.5.9.1
[msvLclnt.dll] [0x000003e8] 18/03/2005 16:08:42:156 :[00000001] File D:\Downloads\Divx\DivX503Bundle.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x000003e8] 18/03/2005 16:24:50:031 :[00000001] File D:\Downloads\Patches&Updates\HL&CS\ghl1110.exe infected by not-a-virus:RiskWare.Proxy.Hltv
[msvLclnt.dll] [0x000003e8] 18/03/2005 17:14:11:453 :[00000001] File G:\Eigene Dateien\Mails\Marius\Thunderbird\Inbox infected by not-a-virus:AdWare.Casino.d
[msvLclnt.dll] [0x000003e8] 18/03/2005 17:14:23:187 :[00000001] File G:\Eigene Dateien\Mails\Marius\Thunderbird\Junk infected by not-a-virus:AdWare.Casino.d

es ist nicht's schlimmes im System ;)
lade Dir Clearprog setze Haken bei alles löschen und ok. Kannst Du von Zeit zu Zeit immer wieder mal säubern.
Meine Empfehlung verwende statt dem IE alternative Browser:
http://filepony.de/download-opera/
http://www.mozilla.org/
Nur noch für Windowsupdate (und das öffter) IE verwenden

OK, danke, was is mit den zwei Trojs im Cache? Ich verwende Firefox!

Die sind nach Anwendung von Clearprog weg.

Gruß :daumenhoc
Yopie

kk, many thx an die, die mir geholfen haben!