Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Bitte um Hilfe mit Trojan.Downloader.Win32.Agent.bda!!! (https://www.trojaner-board.de/35657-bitte-um-hilfe-trojan-downloader-win32-agent-bda.html)

hugo001 24.01.2007 18:37
Bitte um Hilfe mit Trojan.Downloader.Win32.Agent.bda!!!
 
Hallo zusammen!

Habe versucht mich mit der Boardsuche schlau zu machen, bin aber leider auf keinen grünen Zweig gekommen, also bitte ich euch hier um Hilfe!


Mein Problem:

Kaspersky Anti-Virus Personal 5.0.527 findet bei jeder Überprüfung den Trojaner Trojan.Downloader.Win32.Agent.bda im Objekt C:\WINDOWS\hide_evr2.sys!
Wenn ich ihn löschen versuche, kommt sofort "Bearbeitungsfehler".

Da ich leider absolut überhaupt keine Ahnung habe, was ich nun weiter machen kann, wäre es wirklich sehr nett, wenn ihr mir weiterhelfen könntet!

Danke schon mal im Voraus!

Mit freundlichen Grüßen,
Michael

Sunny 24.01.2007 18:41
Hallo Michael,

poste doch als erstes mal ein Hijacklog, und um die Datei kümmern wir uns später... ;)

Gruß
Sunny

hugo001 24.01.2007 19:31
Hoffe, dass ich soweit einmal alles richtig gemacht habe!

Logfile of HijackThis v1.99.1
Scan saved at 19:25:16, on 24.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\Program Files\OO Software\CleverCache\OOCCSVC.exe
C:\Program Files\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Program Files\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\9129837.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\Program Files\MSN Messenger\msnmsgr.exe
C:\WINDOWS\Program Files\iPod\bin\iPodService.exe
C:\WINDOWS\system32\cidaemon.exe
H:\iTunes\iTunesHelper.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Boss\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://www.google.de/keyword/%s
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\WINDOWS\Program Files\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\WINDOWS\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\WINDOWS\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\WINDOWS\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\WINDOWS\Program Files\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Program Files\HHVcdV7Sys\VC7SecS.exe


Liebe Grüße,
Michael!

Sunny 24.01.2007 20:57
Dateien Online überprüfen lassen:

* Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
(lass auch die versteckten Dateien anzeigen!)

Zitat:
C:\WINDOWS\9129837.exe
C:\WINDOWS\System32\ipv6mons.dll
* Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
* Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
(Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!)

Gruß
Sunny

hugo001 25.01.2007 14:55
Zitat:
C:\WINDOWS\9129837.exe
Complete scanning result of "9129837.exe", processed in VirusTotal at 01/24/2007 23:38:48 (CET).

[ file data ]
* name: 9129837.exe
* size: 19604
* md5.: 3a8b303a4e1819a4eefca37a701d3fe6
* sha1: 000c2435d03df8d20fc9df2411c5245e32abaa9d

[ scan result ]
AntiVir 7.3.0.26/20070124 found [TR/PSW.Small.bs]
Authentium 4.93.8/20070124 found nothing
Avast 4.7.936.0/20070124 found [Win32:Small-BMW]
AVG 386/20070124 found [Generic2.PZN]
BitDefender 7.2/20070124 found [Dropped:Generic.Malware.SBg.7B46B400]
CAT-QuickHeal 9.00/20070124 found [TrojanDownloader.Agent.bda]
ClamAV devel-20060426/20070124 found nothing
DrWeb 4.33/20070124 found [Trojan.PWS.Pape]
eSafe 7.0.14.0/20070124 found [Win32.Polipos.sus]
eTrust-InoculateIT 23.73.121/20070124 found nothing
eTrust-Vet 30.3.3347/20070124 found [Win32/Ursnif!generic]
Ewido 4.0/20070124 found [Trojan.Pape]
F-Prot 3.16f/20070123 found nothing
F-Prot4 4.2.1.29/20070123 found nothing
Fortinet 2.85.0.0/20070124 found [W32/Small.B6D5!tr.bdr]
Ikarus T3.1.0.27/20070124 found [Trojan-Downloader.Win32.Zlob.and]
Kaspersky 4.0.2.24/20070124 found nothing
McAfee 4948/20070124 found nothing
Microsoft 1.1904/20070124 found [TrojanSpy:Win32/Ursnif.gen!A]
NOD32v2 2004/20070124 found [probably unknown NewHeur_PE virus]
Norman 5.80.02/20070124 found [W32/DLoader.BKSE]
Panda 9.0.0.4/20070124 found [Trj/Spyforms.W]
Prevx1 V2/20070124 found [Win32.Malware.gen]
Sophos 4.13.0/20070124 found [Mal/Behav-044]
Sunbelt 2.2.907.0/20070122 found [Trojan-PSW.Win32.Hooker.24.c]
TheHacker 6.0.3.155/20070124 found nothing
UNA 1.83/20070124 found nothing
VBA32 3.11.2/20070124 found [Trojan.PWS.Pape]
VirusBuster 4.3.19:9/20070124 found [novirus:Packed/Upack]

[ notes ]
packers: Upack
packers: UPACK
packers: UPack
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=e23561980303


Zitat:
C:\WINDOWS\System32\ipv6mons.dll
Complete scanning result of "ipv6mons.dll", processed in VirusTotal at 01/25/2007 00:01:57 (CET).

[ file data ]
* name: ipv6mons.dll
* size: 39144
* md5.: 27b50ffbc6e19bffab7754acf5465af7
* sha1: 81931f55210bd1e89bde1f58ea2ca96509513366

[ scan result ]
AntiVir 7.3.0.26/20070124 found [TR/Spy.Bzub.BZ]
Authentium 4.93.8/20070124 found nothing
Avast 4.7.936.0/20070124 found nothing
AVG 386/20070124 found [PSW.Generic2.VJK]
BitDefender 7.2/20070124 found [Trojan.Spy.Bzub.BZ]
CAT-QuickHeal 9.00/20070124 found nothing
ClamAV devel-20060426/20070124 found [Trojan.Spy-244]
DrWeb 4.33/20070124 found [Trojan.DownLoader.15867]
eSafe 7.0.14.0/20070124 found nothing
eTrust-InoculateIT 23.73.121/20070124 found nothing
eTrust-Vet 30.3.3347/20070124 found nothing
Ewido 4.0/20070124 found [Logger.BZub.gq]
F-Prot 3.16f/20070123 found nothing
F-Prot4 4.2.1.29/20070123 found nothing
Fortinet 2.85.0.0/20070124 found [W32/Agent.NBZ!tr.spy]
Ikarus T3.1.0.27/20070124 found [MalwareScope.Trojan-Spy.BZub.3]
Kaspersky 4.0.2.24/20070124 found nothing
McAfee 4948/20070124 found [Spy-Agent.ba.dll]
Microsoft 1.1904/20070124 found nothing
NOD32v2 2004/20070124 found [Win32/Spy.BZub.NBZ]
Norman 5.80.02/20070124 found [W32/Smalltroj.YFM]
Panda 9.0.0.4/20070124 found nothing
Prevx1 V2/20070125 found nothing
Sophos 4.13.0/20070124 found nothing
Sunbelt 2.2.907.0/20070122 found nothing
TheHacker 6.0.3.155/20070124 found nothing
UNA 1.83/20070124 found [Trojan.Spy.Win32.BZub.D5A6]
VBA32 3.11.2/20070124 found [MalwareScope.Trojan-Spy.BZub.3]
VirusBuster 4.3.19:9/20070124 found [Trojan.DR.BZub.Gen.4]

[ notes ]
packers: Sobcrypt
packers: Sobcrypt


Danke und Gruß
Michael

Sunny 25.01.2007 15:28
Mach jetzt folgendes:

Anleitung SmitfraudFix:

Lade dir dieses Tool -> SmitfraudFix
-Starte es dann und lass das System durchsuchen und bereinigen. (Option 2)
-Poste danach wie in der Anleitung beschrieben, das Ergebnis des Scans

Zusätzlich dann nochmal ein neues Hijacklog. ;)

Gruß
Sunny

hugo001 25.01.2007 16:58
So, hier das Ergebnis des SmitfraudFix-Scanns

SmitFraudFix v2.135

Scan done at 16:35:30,82, 25.01.2007
Run from C:\Dokumente und Einstellungen\Boss\Desktop\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is FAT32
Fix run in safe mode

»»»»»»»»»»»»»»»»»»»»»»»» Before SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Killing process


»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

GenericRenosFix by S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files


»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

Registry Cleaning done.

»»»»»»»»»»»»»»»»»»»»»»»» After SmitFraudFix
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» End


Und hier noch das neue Hijacklog

Logfile of HijackThis v1.99.1
Scan saved at 16:50:12, on 25.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\Program Files\OO Software\CleverCache\OOCCSVC.exe
C:\Program Files\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\System32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Program Files\TuneUp Utilities 2006\MemOptimizer.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Boss\Desktop\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\WINDOWS\Program Files\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\WINDOWS\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\WINDOWS\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\WINDOWS\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\WINDOWS\Program Files\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Program Files\HHVcdV7Sys\VC7SecS.exe

Liebe Grüße
Michael!

Sunny 25.01.2007 17:03
-Lade dir nun die Killbox, entpacke und starte das Programm
-Klick auf die Option "delete on reboot" und suche diese Datei:

Zitat:
C:\WINDOWS\System32\ipv6mons.dll
Danach das System neu starten lassen und nochmal eine neues Hijacklog posten.

Zusätzlich kannst du auch das durchführen:

Arbeiten mit MWAV (eScan)

* Lies dir folgende Anleitung genau durch und arbeite sie ab:
-> Anleitung eScan
* Wichtig: Poste im Anschluss das Ergebnis mit Hilfe der “find.bat”.
(steht alles ganz genau in der Anleitung.)

Gruß
Sunny

hugo001 25.01.2007 20:07
Habe nun die Schritte mit der Killbox durchgeführt - hier das Hijacklog

Logfile of HijackThis v1.99.1
Scan saved at 20:00:38, on 25.01.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\Program Files\OO Software\CleverCache\OOCCSVC.exe
C:\Program Files\HHVcdV7Sys\VC7SecS.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\WINDOWS\System32\rundll32.exe
C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\jusched.exe
H:\QuickTime\qttask.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Program Files\TuneUp Utilities 2006\MemOptimizer.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Boss\Desktop\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - C:\WINDOWS\System32\ipv6mons.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\WINDOWS\Program Files\TuneUp Utilities 2006\MemOptimizer.exe" autostart
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\WINDOWS\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\Program Files\Java\jre1.5.0_10\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\WINDOWS\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\ICQLite\ICQLite.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\WINDOWS\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\WINDOWS\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll (file missing)
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\WINDOWS\Program Files\iPod\bin\iPodService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\System32\oodag.exe
O23 - Service: O&O CleverCache Pro (OOCleverCache) - O&O Software GmbH - C:\WINDOWS\Program Files\OO Software\CleverCache\OOCCSVC.exe
O23 - Service: Virtual CD v7 Management Service (VC7SecS) - H+H Software GmbH - C:\Program Files\HHVcdV7Sys\VC7SecS.exe

Anschließend habe ich noch einen Scan mit MWAV (eScan) durchgeführt.
Die "Find.bat" zum posten des Logs habe ich aber nicht gefunden, also habe ich nur eine *.txt Datei.

Libe Grüße
Michael!

hugo001 26.01.2007 18:40
Hallo nochmal!

Habe noch eine Frage bezüglich meines geliebten Trojaner... :)

Kann jetzt keinen Scan mehr mit Kaspersky durchführen, da mir das Programm ständig abstürzt!
Hat das was mit dem Trojan.Downloader.Win32.Agent.bda zu tun und sollte der jetzt eigentlich weg sein?

Danke für die Hilfe bis her!

Das letzte Hijacklog findest du im vorigen Post!

Liebe Grüße
Michael!

Sunny 26.01.2007 18:43
-Suche in der .txt Datei von eScan nach den Begriffen -> infected oder tagged, poste dann die gesamten Zeilen hier in den Beitrag. ;)
(das hätte normalerweise die find.bat übernommen. ;) )

Außerdem solltest du unbedingt dein System updaten, warum fehlen dir soviele Updates und das Service Packs? :confused:

hugo001 26.01.2007 19:38
So, hier die Ergebnisse meiner Suche:

Thu Jan 25 18:04:50 2007 => Offending file found: C:\DOKUME~1\Boss\EIGENE~1\partyval\news.htm
Thu Jan 25 18:04:50 2007 => System found infected with grokster Spyware/Adware (news.htm)! Action taken: Entries Removed.

Thu Jan 25 18:04:50 2007 => Offending file found: C:\DOKUME~1\Boss\EIGENE~1\partyval\FRAMEV~1\news.htm
Thu Jan 25 18:04:50 2007 => System found infected with grokster Spyware/Adware (news.htm)! Action taken: Entries Removed.
Thu Jan 25 18:04:50 2007 => Object "grokster Spyware/Adware" found in File System! Action Taken: Entries Removed.


Zu den Updates und SPs:

Da mir von einem bekannten "Computerexperten" vom SP2 abgeraten wurde, da es seiner Meinung nach nicht besonders empfehlenswert is, habe ich seitdem nur das SP1...

Gruß
Michael

Sunny 26.01.2007 19:49
Zitat:
Zitat von hugo001 (Beitrag 250996)
Zu den Updates und SPs:

Da mir von einem bekannten "Computerexperten" vom SP2 abgeraten wurde, da es seiner Meinung nach nicht besonders empfehlenswert is, habe ich seitdem nur das SP1...
Genau, du hast das Wort Computerexperte schon in ".." gesetzt. :daumenhoc
Denn das ist völliger Unfug, genau deshalb gibt es immer noch soviele Viren/Trojaner/Malware im Netz, da ein ganz großer Haufen so denken wie dein Bekannter. :schmoll:

Gruß
Sunny

hugo001 26.01.2007 19:55
Gut dann werd ich mir dann gleich einmal, dass SP2 downloaden!

Und wie schauts mit meinem Trojaner aus? :)

Liebe Grüße
Michael

hugo001 27.01.2007 15:55
Gut, SP2 installiert...

Firewall ist allerdings inaktiv. Wenn ich sie über Start- Systemsteuerung - Windows-Firewall starten versuche kommt die Meldung

"Aufgrund eines unbekannten Problems können die Einstellungen des Windows-Firewalls nicht angezeigt werden" :confused:

Hat da der Trojaner damit was zu tun und sollte der jetzt eigentlich schon weg sein?

Und noch eine Frage bezüglich des Kaspersky-AV:

Der KAV stürzt neuerdings ständig ab und hat auch schon seit 17.01. nicht mehr geupdated (lässt sich auch manuell nicht abdaten / Lizenzschlüssel aber gültig)!
Jetzt bin ich am überlegen ob ich nicht auf AntiVir umsteigen sollte!
Was meinst du dazu!

Danke für die Hilfe und Lg
Michael


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:03 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19