Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   SPR\Tool.Net.Cat.B (https://www.trojaner-board.de/47231-spr-tool-net-cat-b.html)

onkelalfred 22.12.2007 11:10
SPR\Tool.Net.Cat.B
 
Hi Leute,

hatte bereits die SuFu genutzt aber keine wirkliche Antwort auf mein Problem gefunden, ich hoffe ihr könnt mir dabei helfen.

Nun zu meinem Prob:
Vor ein paar tagen hab ich mir Cryptload von der offziellen site gezogen, mit Cryptload kam auch gleich eine nette Infektion mit, namens "SPR\Tool.Net.Cat.B", jedoch kann ich keinerlei Beeinträchtigungen feststellen während mein system läuft (sprich keine Ahnung was dieser "Virus" macht), auf jeden Fall ist bei mir irgendwas im System so eingestellt (oder auch nicht), dass sich mein Bildschirm nach ca. einer halben Stunde "nichts tun" in den standby-modus schaltet, sobald ich dann wieder was drücke, seh ich die Windows-Oberfläche ohne Taskleisten und die Meldung von meinem Ashampoo AntiVir prog, dass eine Datei auf eine infizierte zugreifen will, dabei handelt es sich um folgende Datei,

"C:\System Volume Information\_restore{CDF5C46F-071ID-4CED-91C9-D59EDDFE4AEE\RP138\A0064129.exe"
Infektion: "SPR\Tool.Net.Cat.B"

Auswahlmöglichkeiten hätte ich folgende: "Löschen, Ignorieren, Blockieren, In Quarantäne verschieben" (sprich den Standard Spaß), das dumme daran ist nur das ich keines von denen auswählen kann, da sich sozusagen alles aufgehängt hat und kein Tastatur/Maus-Befehl mehr vom System angenommen wird, sprich nur der große runde Schalter am PC hilft noch.

Jetzt meine Frage, was kann ich machen? Ein Full-System Scan verschiedenster Free-Ware Anti-Vir progs (Spybot, AVG, a-squared, ashampoo), entdeckt diese Infektion nicht, folglich kann ich sie auch nicht beseitigen/bereinigen.

Ich hoffe ihr könnt dabei weiterhelfen, währe euch sehr dankbar.
Nachfolgend nochmal das Hjackthis-Logfile, vielleicht entdecken eure findigen Augen ja noch etwas auffälliges ;)

Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 11:08:20, on 22.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Michael\Programs\Sicherheit\AdAware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\rundll32.exe
C:\Michael\Programs\Sicherheit\AdAware\AAWTray.exe
C:\Michael\Programs\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Michael\Programs\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Michael\Programs\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KHAL\KHALMNPR.EXE
C:\Michael\Programs\Sicherheit\a-squared Free\a2service.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Michael\Programs\SICHER~1\AVG\avgamsvr.exe
C:\Michael\Programs\SICHER~1\AVG\avgupsvc.exe
C:\Michael\Programs\Sicherheit\Ashampoo AntiVirus\ashAvSrv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Michael\Programs\Sicherheit\Ashampoo AntiVirus\GuardGui.exe
C:\Michael\Programs\Firefox\firefox.exe
C:\Programme\7-Zip\7zFM.exe
C:\DOKUME~1\Michael\LOKALE~1\Temp\7zOB.tmp\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Live Search
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: GetRight IE Download Helper - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Michael\Programs\GetRight\xx2gr.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AAWTray] C:\Michael\Programs\Sicherheit\AdAware\AAWTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Michael\Programs\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Michael\Programs\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Michael\Programs\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Download with GetRight - C:\Michael\Programs\GetRight\GRdownload.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Open with GetRight Browser - C:\Michael\Programs\GetRight\GRbrowse.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Michael\Programs\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Michael\Programs\Sicherheit\a-squared Free\a2service.exe
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Michael\Programs\Sicherheit\AdAware\aawservice.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Michael\Programs\SICHER~1\AVG\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Michael\Programs\SICHER~1\AVG\avgupsvc.exe
O23 - Service: avGuard Service (avGuard) - Unknown owner - C:\Michael\Programs\Sicherheit\Ashampoo AntiVirus\ashAvSrv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Michael\Programs\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
Danke schon mal im vorraus!

nochdigger 22.12.2007 12:55
Hallo

die Meldung heißt wohl, dass hier ein potentiell gefährliches Programm (Tool) benutzt wird (wenns ich richtig verstanden habe:rolleyes:).
Die Meldung in der Systemwiederherstellung wirst du so los
Zitat:
deaktiviere die bitte Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
Dein Log hab ich mir jetzt nicht angeschaut.

MFG

onkelalfred 22.12.2007 13:13
Mh ok, verstehe schon was du meinst, jedoch wird mir der Spaß nichts bringen, da der Virus bzw. die Infektion ja nicht entfernt wird ...
Wie gesagt bei nem System Scan / Festplattenüberprüfung wird die Infektion nicht entdeckt und wenn sie auftritt hängt sich ja auch gleichzeitig das ganze System auf, folglich hab ich mit meinen Anti-Vir-Progs die ich drauf habe keinerlei Möglichkeit es zu entfernen^^

nochdigger 22.12.2007 13:29
Hallo

welche Datei wird denn da angemeckert (genauer Pfad/Datei)?

MFG

onkelalfred 22.12.2007 13:44
Zitat:
"C:\System Volume Information\_restore{CDF5C46F-071ID-4CED-91C9-D59EDDFE4AEE\RP138\A0064129.exe"
Infektion: "SPR\Tool.Net.Cat.B"
hatte ich bereits oben gepostet ;)

nochdigger 22.12.2007 13:46
Moin:balla:

die Lösung hatte ich dir "auch" bereits geschrieben
Zitat:
deaktiviere die bitte Systemwiederherstellung -->
System herunterfahren --> System ca. 2min auslassen --> Neustart --> Systemwiederherstellung kann wieder aktiviert werden.
Probier es einfach aus...:D

MFG

virusb00n 03.12.2009 21:17
ist kein virus...ka wie ichs beschreiben soll aber es ist kein virus... das ist bei cryptload immer ^^ google das mal :D aber wenn du von rapidshare laden willst lad dir den JDownloader runter, der soll besser sein :D ich lad immer noch mit cryptload aber wechsel bald das prog^^

jangirke 06.07.2010 07:22
Benutze einfach eine Live CD mit Ubuntu Desktop um deinen Computer zu starten.
Dann einfach die Datei löschen und Du bist wieder drinn.


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:04 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131