Trojaner-Board - Trojaner VBS.Psyme.x und JS.Miner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner VBS.Psyme.x und JS.Miner (https://www.trojaner-board.de/18488-trojaner-vbs-psyme-x-js-miner.html)

Trojaner VBS.Psyme.x und JS.Miner

Hallo Zusammen!

Ich habe mit Kasperssky VBS.Psyme.x und JS.Miner entdeckt. Eine automatische Desinfektion ist allerdings fehlgeschlagen. Als ich versucht habe, dem angezeigten Pfad manuell zu folgen

C:\Doku..\Temporary Internet Files\Content.IE5\S1INSLEZ\Count[1].chm

musste ich feststellen, dass es diesen Pfad im Explorer gar nicht gibt, obwohl ich auch die versteckten Dateien hab anzeigen lassen.

Kann mir vielleicht jemand weiterhelfen. Bin im Umgang mit Viren blutiger Amateur, deshalb wäre eine technisch simple Antwort nett.

Vielen Dank!

Hi,

diesen Pfad sollte es schon geben versuch es noch mal mit der Einstellung

Windows Explorer --> "Extras/Ordneroptionen" --> "Ansicht" --> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren --> "OK"

Zur Datenträgerbereinigung:
Lade ClearProg Haken setzen bei alles löschen und auf ok.

Hi, habe die Einstellung vorgenommen, allerdings wird der ordner immer noch nicht angezeigt, auch über "suchen" ist zwecklos. wenn ich clearprog anklicke, öffnet sich eine internetseite und ein sql-fehler wird angzeigt. wie ist das genaue vorgehen. danke im voraus.

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Logfile of HijackThis v1.99.1
Scan saved at 18:43:37, on 01/06/2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Winamp3\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
F:\Office2000\Office\1031\OLFSNT40.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HiJack This\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp3\winampa.exe"
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Office2000\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = F:\Office2000\Office\1031\OLFSNT40.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1117636579553
O17 - HKLM\System\CCS\Services\Tcpip\..\{12CC5987-6135-4289-8E78-E79F4813E4F5}: NameServer = 195.50.140.250 145.253.2.174
O17 - HKLM\System\CS1\Services\Tcpip\..\{12CC5987-6135-4289-8E78-E79F4813E4F5}: NameServer = 195.50.140.250 145.253.2.174
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

Du solltest unbedingt Dein System updaten
Windowsupdate oder CD-Bestellung SP2
ansonsten sehe ich nichts auffälliges. Du kannst noch folgende zwei Einträge mit HJT fixen:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

und von Hand die datei löschen:
C:\WINDOWS\web\related.htm

Um den Pad zu finden kannst du auch noch folgendes versuchen:
Lade den Total Commander und nehme folgende Einstellung vor:
Total Commander öffnen --> Konfigurieren --> Einstellungen --> Ansicht --> Haken bei "Versteckte und Systemdateien anzeigen (nur für Experten)" --> Ok
Gehe im rechten Fenster zum entsprechenden Ordner/Datei (mit Leertaste oder rechter Maustaste markieren --> F8 --> JA)

Führe mal noch folgendes aus wenn Clearprog bei dir nicht funtioniert:

Windowstaste+R --> cleanmgr --> <enter>
klick bei Temp
klick bei temporary internet files
klick bei papierkorb
ok

Du solltest auch auf sichere Browser umsteigen und IE nur noch für Windowsupdates verwenden
http://filepony.de/download-opera/
http://www.mozilla.org/