|
Trojaner, Hijacker und andere... Hallo Leute, ich hatte mir gestern nacht durch einen falschen Klick einen Haufen Probleme eingehandelt. Startseite war plötzlich eine dubiose "systemwarning.com", mein Scanner(KAV5.0) fand mehrere Trojaner auf meinem Rechner. Trojan-Downloader Win32.Agent.acd Trojan-Downloader Win32.Zlob.dn Trojan-Dropper Win32.Small.akg Auch der Scanner dürfte beschädigt worden sein, da er plötzlich seine Aufgaben nur noch fehlerhaft ausführte, ebenso die Downloads der Datenbanken. Laut Log wurden in C:\Windows\system32\1024\ folgende von Win32.Zlob.da infizierte Dateien gefunden: ld9BC4.tmp ldA6A0.tmp ldDE40.tmp Ein Löschen der Dateien war nicht möglich, da er diese angeblich nicht gefunden hat. Ebenso wurde in C:\Windows\system32\ folgende von Hoax.Win32.Renos.ak infizierte Datei gefunden und gelöscht. wbeconm.dll Wird die für irgendwas benötigt, oder handelt es sich dabei um einen Trojaner??? Weiters wurden zu einem späteren Zeitpunkt folgende von Win32.Zlob.do infizierte Dateien gefunden und gelöscht: C:\Windows\system32\mssearchnet.exe mssearchnet.exe\mssearchnet.exe C:\Windows\system32\msvol.tlb Ist eine dieser Dateien für den Rechnerbetrieb erforderlich und muß ich diese ersetzen? Seitdem die ersten temporären Dateien gelöscht wurden, scheint der Virenscanner wieder ordentlich zu funktionieren, zumindestschließt er laut Protokoll seine Aufgaben wieder erfolgreich ab. Zur Zeit läuft ein weiterer Systemcheck, der aber bis dato nichts ans Tageslicht geebracht hat. Die Startseite wurde wiederhergestellt, das Addon, welches auf die dubiose Seite führte, habe ich gefunden und nach mehreren Versuchen* erfolgreich gelöscht. *mehrtere Versuche deshalb, da sich die temporäre Datei zuerst gar nicht löschen lies und sich bei weiteren Versuchen selbst reproduzierte und sich in einen anderen Ordner hineinschrieb. Erst, als ich den Dateinamen veränderte und den Eintrag aus der Registry gelöscht habe, ließ sich dieses Objekt von meinem Rechner entfernen. In der Browserinternen AddOn-Verwaltung wird es aber nach wie vor aufgeführt, deaktiviert. Das AddOn nannte sich HomepageBHO und der Dateiname war/ist hp78de.tmp. Kann mir da ein Profi Tips zur Systemwiederherstellung und sicheren Wiederinbetriebnahme geben? Danke Kurt |
Hallo, diese Dateien werden nicht für den Rechnerbetrieb benötigt. C:\Windows\system32\mssearchnet.exe mssearchnet.exe\mssearchnet.exe C:\Windows\system32\msvol.tlb Könntest du evtl. noch ein HJT logfile posten? |
Klar, hier ist es: Logfile of HijackThis v1.99.1 Scan saved at 00:19:11, on 31.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\wfxsnt40.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\borland\interbase\bin\ibguard.exe C:\Programme\Symantec\WinFax\WFXCTL32.EXE C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe C:\Programme\borland\interbase\bin\ibserver.exe C:\mysql\bin\winmysqladmin.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\Programme\CAO-Faktura\cao_faktura.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp78DE.tmp (file missing) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619 O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe Den Prozess C:\WINDOWS\system32\nvctrl.exe habe ich inzwischen beendet und umbenannt und danach gelöscht. Gleichzeitig hab ich das Teil an KAV geschickt, da es, im Gegensatz zu HiJackThis nicht als Trojaner identifiziert wird. Gruß Kurt [edit] links entfernt [/edit] |
Fixe diesen Eintrag: O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp78DE.tmp (file missing) Ausser der nvctrl.exe kann ich nichts finden. Läuft dein Rechner denn wieder normal bzw. schmeißt dein AVP noch Meldungen? |
Den Eintrag der BHO hab ich inzwischen gelöscht, wie die nvctrl.exe. Über die Dateisuche hab ich auch noch den Eintrag im Recent-Ordner gelöscht, ebenso den Eintrag: NVCTRL.EXE-325F48B7.pf Ansonst läuft mein System wieder normal, auch KAV zeigt zur Zeit keine anormalen Verhaltensweisen. Ob das nach dem Neustart so bleibt, hoffe ich einfach mal. Sicherheitshalber hab ich mir die von euch empfohlenen Tool Adaware, cwshredder und spybot runtergeladen und installier mir die mal. Als nächste Sicherheitsmaßnahme fliegt der IE in hohem Bogen raus. *hmpf* Ich hoffe, das wars dann erst mal. Gruß und danke Kurt |
:daumenhoc Dann hoffen wir mal das es dabei bleibt |
Naja, ich hab auch die Registry noch manuell anhand dieser Anleitung http://www.sophos.de/virusinfo/analyses/trojzlobbc.html durchforstet und bereinigt, da regCleaner nicht alles gefunden hatte. Die Explorer.exe werde ich von einem anderen Rechner kopieren und die bestehende damit überschreiben. Damit denke ich, habe ich mein möglichstes getan, wenns dann nicht geht, bleibt mir sowieso nur noch format:\C :o Trotzdem Danke für die Unterstützung! Gruß Kurt |
Dann wünsch ich dir mal viel Erfolg dabei. Und nen guten Rutsch ins neue Jahr. |
Jo, vielen Dank, dir auch einen guten Rutsch! KAV hat heute geantwortet, es war tatsächlich ein neuer Trojaner! Hello. Malicious software was found in the attached file. Trojan.Win32.Agent.il It's detection was included in the next update. Please update your base nomore later. Thank you for your help. ----------------- Regards, Leonid Khovansky Virus Analyst, Kaspersky Lab. Ph.: +7(095) 797-8700 E-mail: newvirus@kaspersky.com http://www.kaspersky Attachment: nvctrl.exe |
Also, ich hab KAV nun auf die neueste Version geupdated und auch den *.wmf-Patch eingespielt, die Scanoptionen auf die erweiterten Datanbanken eingestellt und einen Scan durchgeführt. Bei 187.903 Dateien und 928 gescannten Scripts wurde nichts verdächtiges mehr gefunden. Die Datenbanken wurden natürlich vorher auf den neuesten Stand gebracht. Auch Spybot und Adaware geben grünes Licht, also nehme ich mal an, daß die Bereinigung gelungen ist, insbesondetre, da seit dem Befall und den Scans eine Reihe von Systemneustarts lagen. Gruß Kurt |
Dann hoffen wir mal das es dabei bleibt :) Guten Rutsch ins neue jahr. |
Deine Wünsche in Ehren, sie scheinen sich aber nicht zu erfüllen. :balla: Gestern ließ ich noch einen Onlinescan bei Trendmicro durchführen, wobei ein Trojaner (Trojan SE *****) gefunden und gelöscht wurde. Gwitzt durch die Vorfälle habe ich dann noch anschließend KAV über die Platte laufen lassen, wobei dieser dann Win32.Zlob.db gefunden hatte, und zwar getarnt mit dem Dateinamen eines Backups: backup-20051231-001626-767.dll Hab ich löschen lassen. Aber nun meine Frage: Beide Trojaner scheinen nicht aktiv gewesen zu sein, da im HJT-Log keinerlei verdächtige Einträge auftauchten, zumindest sind mir keine aufgefallen. Der zweite könnte sich auch selbst reproduziert haben, als Trendmicro den ersten löschte, oder? Hier nochmal ein Auszug aus dem letzgültigen HJT-Log: Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/showpos...57&postcount=1 danke GUA [/edit] |
*hmpf* @GUA: Als ich es gepostet habe, war es nicht verlinkt. Logfile of HijackThis v1.99.1 Scan saved at 14:41:16, on 01.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\wfxsnt40.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\borland\interbase\bin\ibguard.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Symantec\WinFax\WFXCTL32.EXE C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe C:\mysql\bin\winmysqladmin.exe C:\Programme\borland\interbase\bin\ibserver.exe C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.at/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O15 - Trusted Zone: http://de.trendmicro-europe.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619 O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe |
Noch ein(e) Nachtrag/Frage: Legt HiJackThis im Ordner "backups" eine Programmbibliothek mit variablem Namen ab? Hab soeben wieder eine "backup-20051231-164642-724.dll" im Ordner "backups" gefunden, KAV erkennt aber keinen Schadcode. Gruß Kurt |
hallo, also deine frage kann ich dir nicht beantworten,aber wenn du willst mach doch mal Hier einen Onlinescan. und poste mal das ergebniss. gruß |
*pffht* Nu geht's rund... :balla: Sobald ich bei Trendmicro mit dem IE einen Onlinescan starten will, stellt er ein Problem fest und beendet sich. Spybot S&D bricht selbstständig bei jedem Scan beim DirectDialer ab und schreibt Benutzerabbruch hin... stimmt ja gar net...:lmaa: Der Panda-Onlinescanner hat einmal Spyware entdeckt, ist aber noch nicht fertig, weiß deshalb auch noch nicht, wie, wo, warum... Schaut net guat aus, gar net guat...:headbang: KAV-Onlinescan läuft noch, oder auch nicht, nach Update der Virendefinitionen tut sich im Moment gar nix...:confused: Wenns nicht so traurig wär, müßt ich direkt lachen...:mad: Gruß Kurt |
Also, es scheint, der Übeltäter ist gefunden. Seit ich die "backup-20051231-001626-767.dll" gelöscht habe, läuft Spybot S&D wieder normal, nur Housecall von Trendmicro scheint nicht zu funktionieren. Der IE schließt sich jedesmal selbst aufgrund irgendeines Problems. Scheint ja ein ganz fieses Teil gewesen zu sein, KAV hat es trotz expliziten Scans nicht erkannt, ich hab es mal an Kaspersky gesannt. Pandasoft findet nun auch keine Spyware mehr. Haltet mir die Daumen, daß es das war. Gruß Kurt |
Naja, der Erfolg hat ja nicht lange angehalten. Pandasoft hat CoolWebSearch entdeckt. Da die Systemwiederherstellung bei mir nie aktiviert war, frage ich mich nun, wo der wohl herkommt. Kurz vorher hat Ewido in meinem Programmarchiv eine mit Heuristik.Win32.Dialer infizierte *.exe entdeckt und gelöscht. Hat sich daraus der CWS entwickelt? Als ich den Übeltäter lokalisiert habe und löschen wollte, stürzte der Explorer ab und ich mußte das System neu starten. Seither ist er unauffindbar... Langsam frage ich mich, ob es denn noch Sinn macht, das System bereinigen zu wollen, wenn immer wieder Neuinfektionen auftreten. Einen Backdoor habe ich aber mit allen zur Verfügung stehenden Programmen bisher nicht entdecken können. Gruß Kurt |
poste bitte ein neues HJT logfile... |
Hallo, ok, hier ist's: Logfile of HijackThis v1.99.1 Scan saved at 13:25:14, on 03.01.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\eHome\ehSched.exe C:\Programme\ewido anti-malware\ewidoctrl.exe C:\Programme\ewido anti-malware\ewidoguard.exe C:\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\wfxsnt40.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\borland\interbase\bin\ibguard.exe C:\Programme\borland\interbase\bin\ibserver.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\Symantec\WinFax\WFXCTL32.EXE C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe C:\mysql\bin\winmysqladmin.exe C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe" /autocheck O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O15 - Trusted Zone: h**p://www.ewido.net O15 - Trusted Zone: h**p://de.trendmicro-europe.com O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://www.kaspersky.com/downloads/kws/kavwebscan_unicode.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619 O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - h**p://eu-housecall.trendmicro-europe.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido anti-malware\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido anti-malware\ewidoguard.exe O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe ergibt imho nichts auffälliges, auch Pandasoft findet jetzt nichts mehr auf meinem Rechner. Kann es sein, daß der Onlinescan nicht ganz so zuverlässig ist? Hab ich Paranoia oder Geisterscheinungen? PS.: Seltsam kommt mir nur dieser Eintrag vor: C:\WINDOWS\eHome\ehRecvr.exe Ich hab das Mediacenter gar nicht in Betrieb, auf diesem Rechner sind noch nicht mal Lautsprecher angeschlossen.... Warum also ist diese Datei geladen? Gruß Kurt |
also im logfile finde ich nun nix auffälliges mehr... bezüglich der onlinescans.. diese sind eigentlich sehr sicher... es sei denn es handelt sich um einen ziemlich neuen virus.. haste dir mal clearprog besorgt und laufen lassen?? |
Öhm, clearprog? Wat'n dat? Gruß Kurt |
ist ein programm.. musste mit tante google suchen.. hab im mom grad leider nicht die adresse da wo du es direkt runterladen kannst.. |
Also, jetzt ist mir beim Systemstart(wegen Initialisierung des WMF-Hacks) folgendes aufgefallen: Der Windows Taskmanager führt eine "alg.exe" als lokalen Dienst aus, der im HJT-Log nirgens auftaucht. Die Dateisuche hat ergeben, daß diese 2x existiert, einmal in C:\Windows\system32 und einmal in C:\Windows\system32\dllcache. Kann das der Schädling sein oder handelt es sich dabei um eine Systemdatei? PS.: Google-suche war erfolgreich! ;) Gruß Kurt |
kann ich so nicht sagen... lasse bitte diese beiden dateien bei jotti online prüfen... poste das ergebniss hier... link zu jotti in meiner signatur.. |
Also, ich habs bei Jotti und bei Virus Total durchlaufen lassen, kein Ergebnis. Allerdings wird es nun immer mysteriöser. Pandasoft ActiveScan hat soeben wieder in meinen Favoriten CWS gefunden, aber als ich den Ordner öffnete, um nachzusehen, war da nix. Ein erneuter Scan des betroffenen Ordners zeigte dann wiederum kein Ergebnis...??? Wer verar**t mich da nun? Gruß Kurt |
führe bitte Diese option aus.. poste anschließend das ergebniss hier.. |
*pfhht* Nach mehreren Anläufen hat es nun endlich geklappt. Allerdings iss da nix zum updaten, kavupd.exe ist nicht da, weder in C:\Bases_X, noch im Paket. Kann mir die einer zukommen lassen, oder wird die gar net mehr benötigt??? Gruß Kurt |
Hallo Kurt, schau mal in der Anleitung unter dem rot unterlegtem Punkt 5 nach.da steht die (bei mir)blau unterlegte "find.rar" das ist ein direkter Link. Irrlicht |
Zitat:
Soweit schon klar, das ist aber nicht das Problem. Fehlen tut aber die kavupd.exe in MWAV, die dafür sorgen sollte, daß die Signaturen aktualisiert werden. Was bringt ein Scan mit veralteten Signaturen? Gruß Kurt |
hallo, so dann wollen wir mal weiter machen um den fall eventuell zu lösen. lassen wir das mit mit dem tool von gestern. besorg dir mal Ewido und lass mal drüberlaufen. was dabei dann rauskommt..? |
Hallo Hoerni, Ewido hab ich längst laufen, es findet nichts. inzwischen hab ich aber MWAV ohne Update laufen, der Scan dauert aber noch an. Aber soviel kann ich schon sagen, es wurden 6 verdächtige Sachen gefunden: Auszug aus VirusLogInformation: Object "hotbar Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "abetterinternet Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "abetterinternet Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "abetterinternet Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "abetterinternet Spyware/Adware" found in File System! Action Taken: No Action Taken. Object "abetterinternet Spyware/Adware" found in File System! Action Taken: No Action Taken. Fehlalarm oder doch nicht? Mager ist, daß der Speicherort nicht angegeben ist.... Gruß Kurt |
Zitat:
zum einen freut sich hier der user kurt dunzinger, dass er über google das clear prog gefunden hat :) und zum anderen fragt er ins board, ob die alg.exe ein schädling oder eine systemdatei sei :confused: auf die idee, auch für diese frage hier erstmal google zu fragen scheint er allein nicht zu kommen :o hätte er es getan, dann hätten ihm die ersten beiden links bei google schon alle ängste nehmen können...:teufel3: http://www.google.com/search?client=...utf-8&oe=utf-8 och menno...:dummguck: GUA http://www.clicksmilies.com/s0105/ak...smiley-036.gif (aus dem buch:"lernen ist wie rudern gegen den strom. sobald man aufhört, treibt man zurück...") |
dann besorg dir ad-aware date es ab und lasse es laufen... lösche alles was es findet.. |
@hoerni26: Adaware läuft ebenfalls schon seit Tagen, findet auch nichts(mehr). Fällt dir was zu den gefundenen Objekten ein? @GUA: manchmal kann ich nicht glauben, wie überheblich manche Moderatoren sind. Es soll doch tatsächlich noch Leute geben, die Windows-Systeme nicht im kleinen Finger haben und *.exe-Dateien nicht sofort anhand ihres Namens einem Programm zuordnen können. Und auf die Idee, bei Google nach dem Dateinamen zu suchen, bin ich tatsächlich nicht gekommen. Wenn ich einen Schaden am Auto habe, fahre ich ja auch in die KFZ-Werkstätte, anstatt die Schlossergewerkschaft anzurufen. Mir dafür Lernresistenz zu unterstellen, halte ich schon für starken Tobak. Komm doch mal runter von deinem hohen Roß und bedenke, daß nicht jeder so ein Systemprofi ist wie du. Dafür gibt es bestimmt Sachgebiete, wo ich dir einiges erzählen könnte. Würde ich auch, wenn Bedarf bestünde, aber bestimmt nicht mit einem derartigen Unterton. Gruß Kurt |
nein zu den objekten kann ich leider nix sagen. man müsste wissen in welchem pfad sie sich befinden. das wäre sehr hilfreich. versuche bitte nochmals denn onlinescan durchzuführen. Kaspersky . |
@ kurt dunzinger ich wollte hier nicht überheblich wirken, sondern eher etwas auf den punkt bringen... wenn einem ein tool (hier wohl die größte suchmaschine der welt) bei einer suche nach antworten genützt hat und man sekunden später dieses tool bei der nächsten suche nicht nutzt, ist der lernfaktor, meiner persönlichen meinung nach, hier eher gering... aber du hast recht, hier sofort lernresistenz zu unterstellen war nicht korrekt und dafür sorry :knuddel: ich hoffe der angegebene link hat dir bei der alg.exe geholfen :) GUA http://www.clicksmilies.com/s0105/ak...smiley-036.gif (aus dem buch:"den friedlichen gewährt man gerne frieden...") |
Also, um mal alles transparent zu machen: Ich habe zur Zeit auf meinem System folgende Programme laufen: KAV Personal Ewido Spybot S&D MWAV HJT Onlinescans wurden mehrfach durchgeführt bei: Trendmicro housecall 6.5 Kaspersky Pandasoft ActiveScan diverse Filescans durchgeführt bei: Kaspersky Virus Total Trendmicro Es wurde nichts mehr gefunden, mit Ausnahme von Pandasoft, wo fallweise(nicht zwingend jedesmal, aber doch sehr oft) nach einem Systemneustart in meinen Favoriten Spyware gefunden wird, welche sich aber nach öffnen des betreffenden Ordners in Luft auflöst und bei einem nachfolgenden Scan mit Pandasoft ActiveScan auch nicht mehr auffindbar ist, und jenen, von MWAV gefundenen Objekten, von denen ich den Speicherort und Dateinamen nicht weiß. Gruß Kurt |
schalte deine systemwiederherstellung ab.... starte den pc neu und schalte sie weider an.. |
Zitat:
Ich kenne das selbst, ich bin selbst jahrelang in diversen Foren unterwegs gewesen und habe aufgrund meiner Kenntnisse eine Art Betriebsblindheit entwickelt, was die Kenntnisse anderer User betraf. Deshalb ist es ab und an ganz gut, wenn man daran erinnert wird, daß man selbst auch mal ein Dau war und was heute selbstverständlich ist, zu Dauzeiten eben nicht war. Vergessen wir das einfach mal, ok? Was die alg.exe betrifft, naja, da scheint sich das Internet absolut nicht einig zu sein, einige verifizieren diese Datei als Windows-Systemdatei, andere wiederum... Aber sei's wie's ist, gegenständlich handelt es sich definitiv nicht um einen Schädling, das ist das einzig Wichtige für mich. Danke für den Link. Gruß Kurt |
Zitat:
Die Systemwiederherstellung ist bei mir definitiv seit Installation von Windows XP noch nie eingeschaltet gewesen, da sie in der Regel mehr Probleme bereitet, als sie gut macht. Gruß Kurt |
dann kann ich dir im moment leider nicht mehr weiterhelfen. haste mal mit clearprog alles gesäubert? |
Ja, alles gesäubert. Aber inzwischen ist MWAV fertig, die find.bat hat folgendes ausgeworfen: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jan 04 09:56:43 2006 => System found infected with hotbar Spyware/Adware (wbemess.lo_)! Action taken: No Action Taken. Wed Jan 04 09:56:44 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Wed Jan 04 09:56:45 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Wed Jan 04 09:56:45 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Wed Jan 04 09:56:46 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Wed Jan 04 09:56:46 2006 => System found infected with abetterinternet Spyware/Adware (controller.lnk)! Action taken: No Action Taken. Wed Jan 04 10:19:04 2006 => Scanning File C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\Infected.wav ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jan 04 09:56:43 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Anwendungsdaten\spybot - search & destroy\backups\wbemess.lo_ Wed Jan 04 09:56:44 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\autostart\controller.lnk Wed Jan 04 09:56:45 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\symantec winfax pro\controller.lnk Wed Jan 04 09:56:45 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\programme\autostart\controller.lnk Wed Jan 04 09:56:46 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\programme\symantec winfax pro\controller.lnk Wed Jan 04 09:56:46 2006 => Offending file found: C:\Dokumente und Einstellungen\***\Startmenü\Programme\Autostart\controller.lnk ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Jan 04 09:53:38 2006 => Virus Database Date: 1/4/2006 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Scheint mir ein Fehlalarm zu sein, oder? Der Controller ist in beiden Ordnern nur jeweils einmal vorhanden, die Dateiendung .lnk scheint sich darauf zu beziehen, daß es jeweils Verknüpfungen sind. Kann eine Verknüpfung von einem Malwareprog infiziert werden??? Die Dateigröße ist laut Windoof jeweils 1kB. edit: wbemess.lo_ hingegen hat 65kB. Ist die Datei eine von Spybot S&D? Google sagt imho ja. Gruß Kurt |
sieht nach einem fehlalarm aus... nur 100 pro sicher kann man sich nicht sein.. ob eine verknüpung infiziert werden kann weiss ich nicht genau... dazu kann ich also nichts sagen... aber ich glaub das alles infiziert werden kann.. falls ich grad was falsche gesagt habe,möge man mich bitte verbessern. |
Hallo Kurt, Unter Software hast du nach dubiosem Zeug schon nachgesehen ? Versteckte Ordner und Systemdateien anzeigen ist angehakt ? Mit dem Programm "Regseeker" schon mal die Registrierung gesäubert ? Eine Infizierung dieser Art würde wenig Sinn machen..... Irrlicht |
Zitat:
die Registry bearbeite ich regelmäßig mit RegCleaner, da ist ebenfalls zur Zeit nichts drin, was nicht rein gehört, zumindest, soweit ich es verstehe. Kann es sein, dass Pandasoft ActiveScan einen falschen Alarm auslöst??? Kein anderes Programm hat bisher über meine Favoriten und besonders über den betroffenen Ordner gemosert. Aber mal eine andere Frage: Was haltet Ihr von F-Secure Internetsecurity? Nachdem ich die Geschichte bei der Kripo angezeigt habe, wurde mir dieses Programm zum Schutz meines Rechners empfohlen, KAV kam dort nicht so gut weg. Gruß Kurt |
Natürlich kann man auch einen staatlich geprüften Bademeister nach seiner Empfehlung für einen guten Kaffee fragen,aber wieviel Sinn macht das ? Du verstehst...? Irrlicht |
;) Ok, verstehe... Gruß Kurt [edit] Also, nach einem neuerlichen Systemstart habe ich erneut einen Onlinescan bei Pandasoft gestartet und es wurde nichts gefunden. Da bei Start des Scans allerdings das ActiveX-Control neu heruntergeladen wurde(obwohl es auf meinem Rechner vorhanden war!), nehme ich an, es war irgendwas an diesem Teil fehlerhaft und der Alarm wurde dadurch ausgelöst. Auch alle anderen Programme(KAV, Ewido, Spybot S&D und Adaware) finden nichts mehr auf dem Rechner. Ich nehme deshalb an, daß die Bereinigung gelungen ist und mein Rechner nun wieder sicher ist. Ich bedanke mich bei euch für eure kostenlose Unterstützung bei der Behebung meiner Probleme. Gruß Kurt [/edit] |
Hallo zusammen habe die forums gelesen habe dann mit Kaspersky meine Festplatten kontrolliert nach Trojaner habe mitlerweile fetsgestellt dass ich die reihe von Trojaner auf meine festplatten sich gehäusert haben von tropper bis Clicker die ganze Familie!! insgesammt sind es 52 Trojaner und 9 Viren :( !! wass nun brauche hilfe wäre nett:daumenhoc |
@ Christakis Das ist natürlich eine Menge Malware die auf dein System bereits aktiv war oder vielleicht immer noch ist. Eröffne einen neuen Thread, beschreibe dein Problem ausführlich und versorge uns mit folgenden Informationen: HJT Log-File und die Virus Log Information von eScan Dann sehen wir weiter. btw: Thread geschlossen! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:05 Uhr. |
Copyright ©2000-2025, Trojaner-Board