Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Pc voller Viren (https://www.trojaner-board.de/41596-pc-voller-viren.html)

sauron66 01.08.2007 10:48
Pc voller Viren
 
Hi,
ich habe folgendes Problem: Nach einiger Zeit im Internet kommt eine Fehlermeldung. Generic Host Process for win32 service wurde beendet. Dann geht das Internet nicht mehr. Ausserdem bekomme ich ständig Meldungen von Antivir, dass Viren, Trojaner usw gefunden wurden.
Hier einmal das HijackThis Logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:30:36, on 01.08.2007
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Alice\Signup\AliceCnn.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\dllhost.exe
C:\WINDOWS\system32\scwatcher.exe
C:\WINDOWS\System32\wpabaln.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\AntiVir PersonalEdition Classic\GUARDGUI.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://w*w.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.alice-dsl.de
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] "C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Microsoft Office] C:\WINDOWS\System32\mdm.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\Run: [Network Security] C:\WINDOWS\System32\NSecurity.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{C15E884A-1E4E-498B-A174-8497618E934A}: NameServer = 213.191.74.11 213.191.92.82
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Local Service - Unknown owner - C:\WINDOWS\wuaurpl.exe (file missing)
O23 - Service: Microsoft dllhost Service - Unknown owner - C:\WINDOWS\dllhost.exe
O23 - Service: TCP/IP Network Throttle (NetThrottle) - Unknown owner - C:\WINDOWS\system32\netthrot.exe (file missing)

--
End of file - 3755 bytes

Wollte Viren auch schon per Hand löschen, dann kommt aber eine Meldung zugriff verweigert.
Ich hoffe ihr könnt mir weiterhelfen.
Danke schonmal.

inFiniTY 01.08.2007 10:52
C:\WINDOWS\System32\mdm.exe
C:\WINDOWS\dllhost.exe
C:\WINDOWS\system32\scwatcher.exe
C:\WINDOWS\System32\wpabaln.exe

Lad das mal bei Virustotal hoch, und dann poste den das Ergebnis hier...

sauron66 01.08.2007 11:00
Danke für die schnell Antwort! :aplaus:
So sieh das Ergebnis von mdm.exe aus:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.31.1 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 BackDoor.Generic7.VVR
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.08.01 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5022 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 W32/Ibot.A!tr
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.08.01 -
Ikarus T3.1.1.8 2007.08.01 Trojan-Spy.Win32.Agent.pz
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 W32/Ircbot.BAC.worm
Prevx1 V2 2007.08.01 Trojan.Banker
Rising 19.34.22.00 2007.08.01 Backdoor.Win32.SdBot.kwu
Sophos 4.19.0 2007.08.01 Troj/IBot-A
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 W32.Spybot.Worm
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 -

sauron66 01.08.2007 11:04
Jetzt kommt das von dllhost.exe:
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.31.1 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 HEUR/Crypted
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 Application.Packer.Themida.B
CAT-QuickHeal 9.00 2007.07.31 (Suspicious) - DNAScan
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.08.01 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5022 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.08.01 -
Ikarus T3.1.1.8 2007.08.01 Backdoor.VB.EV
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 W32/IRCbot.BAY.worm
Rising 19.34.22.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 Heuristic.Crypted

inFiniTY 01.08.2007 11:06
sieht nicht so gut aus...mal sehen was mit den anderen Dateien ist...
Wenn sich der Verdacht von dem Backdoorbefall bestätigt, solltest du dein PC neu aufstezen...

sauron66 01.08.2007 11:10
Jetzt das von scwatcher.exe
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.31.1 2007.08.01 Win32/IRCBot.worm.variant
AntiVir 7.4.0.54 2007.08.01 HEUR/Crypted
Authentium 4.93.8 2007.07.31 Possibly a new variant of W32/Backdoor-based
Avast 4.7.1029.0 2007.07.31 Win32:SdBot-gen44
AVG 7.5.0.476 2007.07.31 IRC/BackDoor.SdBot3.CRG
BitDefender 7.2 2007.08.01 DeepScan:Generic.Sdbot.99C92EC4
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 Trojan.SdBot-6511
DrWeb 4.33 2007.08.01 -
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5022 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.08.01 Backdoor.Win32.SdBot.qt
Ikarus T3.1.1.8 2007.08.01 Backdoor.Win32.SdBot.qt
Kaspersky 4.0.2.24 2007.08.01 Backdoor.Win32.SdBot.qt
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 probably a variant of Win32/Genetik
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 -
Rising 19.34.22.00 2007.08.01 Backdoor.SdBot.wix
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 W32.Spybot.Worm
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 Heuristic.Crypted

sauron66 01.08.2007 11:11
Und von wpabaln.exe
Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.31.1 2007.08.01 -
AntiVir 7.4.0.54 2007.08.01 -
Authentium 4.93.8 2007.07.31 -
Avast 4.7.1029.0 2007.07.31 -
AVG 7.5.0.476 2007.07.31 -
BitDefender 7.2 2007.08.01 -
CAT-QuickHeal 9.00 2007.07.31 -
ClamAV 0.91 2007.08.01 -
DrWeb 4.33 2007.08.01 -
eSafe 7.0.15.0 2007.07.31 -
eTrust-Vet 31.1.5022 2007.08.01 -
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.08.01 -
Fortinet 2.91.0.0 2007.08.01 -
F-Prot 4.3.2.48 2007.07.31 -
F-Secure 6.70.13030.0 2007.08.01 -
Ikarus T3.1.1.8 2007.08.01 -
Kaspersky 4.0.2.24 2007.08.01 -
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.08.01 -
NOD32v2 2430 2007.07.31 -
Norman 5.80.02 2007.07.31 -
Panda 9.0.0.4 2007.08.01 -
Prevx1 V2 2007.08.01 -
Rising 19.34.22.00 2007.08.01 -
Sophos 4.19.0 2007.08.01 -
Sunbelt 2.2.907.0 2007.07.31 -
Symantec 10 2007.08.01 -
TheHacker 6.1.7.160 2007.08.01 -
VBA32 3.12.2.2 2007.07.31 -
VirusBuster 4.3.26:9 2007.07.31 -
Webwasher-Gateway 6.0.1 2007.08.01 -

inFiniTY 01.08.2007 11:12
AhnLab-V3 2007.7.31.1 2007.08.01 Win32/IRCBot.worm.variant

hast du in letzter Zeit irgendwelche .rar oder .zip Archive in MSN angenommen und entpackt? (z.B. myphotos2007.rar images.zip usw...)

sauron66 01.08.2007 11:14
Nein, ich hab gar kein msn...

sauron66 01.08.2007 11:24
Aber ich habe eine zip Datei für PES runtergeladen. Aber normalerweise ist das immer vertrauenswürdig.

inFiniTY 01.08.2007 11:25
hmm...das ist dann wiederum komisch...den du hast (villeicht auch nur angeblich) den MSN-Wurm drauf:confused:

sauron66 01.08.2007 11:27
Das ist ja komisch :confused: Und was jetzt?

inFiniTY 01.08.2007 11:31
Ich kann dir das jetzt nicht sagen...
Warte einfach ein bisschen bist Sunny, myrtille oder cosinus kommen :)

sauron66 01.08.2007 11:39
Ok, trotzdem danke. Kann man den MSN Wurm auch über e-mail bekommen. Wir haben nämlich Msn als E-mail (hotmail.com)

inFiniTY 01.08.2007 11:50
Mit der Frage bin ich überfordert...Ich benutz kein MSN aber Hotmail...


Alle Zeitangaben in WEZ +1. Es ist jetzt 03:44 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131