|
trojan-downloader.bat.ftp.ab in zwei Dateien...bräuchte Hilfe Hallo zusammen (nochmal:o), nachdem mein Laptop sich immer noch nicht entschlossen wieder schneller zu werden, habe ich hier noch ein wenig gestöbert. Die "Startroutine" habe ich eigentlich ziemlich aufgeräumt, aber irgendwie ist da doch noch en Haufen Müll drin habe ich so den Eindruck. Und irgendwas frisst mir meinen Arbeitsspeicher auf, ne Dauerauslastung von durchschnittlich 60% ohne dass irgendein Programm offen ist hatte ich noch gar nie. Was mich sehr verwundert: eigentlich habe ich den Internet Explorer entsorgt und arbeite mit Firefox - wieso dass der IE immer wieder auftaucht (auch im HJ-Logfile) ist mir völlig unverständlich. Ich habe Hijackthis und einen E-Scan drüber laufen lassen. Das Hijackthis-Protokoll stelle ich gerne hier rein, das E-Scan Protokoll eher nicht - allein die Fehlermeldung umfassen 12 Word-Seiten, wovon ca. 115 Einträge auf fehlende Dateipfade zurückgehen, ein paar auf Tracking-Cookies und dann noch ein paar, die mich doch ein wenig beunruhigen (die stelle ich hier auch rein). Die Dateien, in denen die Trojaner versteckt sein sollen habe ich bei virustotal checken lassen, die Ergebnisse sind ebenfalls hier. Logfile of HijackThis v1.99.1 [edit] bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird: http://www.trojaner-board.de/22771-a...tml#post171958 danke GUA http://www.smilies.4-user.de/include...lie_be_027.gif [/edit] ********************************************************** Ausschnitt aus den Fehlermeldungen von E-Scan: 25 Mrz 2008 13:44:22 - HKLM\SYSTEM\CurrentControlSet\Services\VxD wird gescannt 25 Mrz 2008 13:44:22 - ***** Registrierungsdatenbank und Dateisystem werden auf Schnüffelprogramme (Spyware) und werbefinanzierte Software (Adware) überprüft ***** 25 Mrz 2008 13:44:22 - Loading Spyware Signatures from new External Database [Name: C:\DOKUME~1\Thomas\LOKALE~1\Temp\spydb.avs, Size: 359872]. 25 Mrz 2008 13:44:34 - Indexed Spyware Databases Successfully Created... 25 Mrz 2008 13:44:36 - Offending Key found: HKCU\Software\kazaa !!! 25 Mrz 2008 14:05:25 - Objekt "kazaa Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 25 Mrz 2008 14:05:25 - Offending Key found: HKCU\Software\magnet !!! 25 Mrz 2008 14:05:25 - Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 25 Mrz 2008 14:05:26 - Offending Key found: HKCR\magnet !!! 25 Mrz 2008 14:05:26 - Objekt "grokster Spyware/Adware" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 25 Mrz 2008 14:05:29 - Offending file found: C:\WINDOWS\system32\swreg.exe 25 Mrz 2008 14:05:29 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Maßnahme ergriffen. 25 Mrz 2008 14:05:29 - Offending file found: C:\WINDOWS\system32\swsc.exe 25 Mrz 2008 14:05:29 - System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Maßnahme ergriffen. 25 Mrz 2008 14:05:37 - Offending Folder found: C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\icq\bart\1024 25 Mrz 2008 14:05:37 - Objekt "smitfraud Browser Hijacker" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. 25 Mrz 2008 14:05:50 - Offending Registry Entry found: hkey_local_machine\system\currentcontrolset\services\ipfilterdriver\enum 25 Mrz 2008 14:05:50 - System found infected with raptordefence Corrupted Adware/Spyware (hkey_local_machine\system\currentcontrolset\services\ipfilterdriver\enum)! Action taken: Keine Maßnahme ergriffen. 25 Mrz 2008 14:05:51 - Offending Registry Entry found: hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll 25 Mrz 2008 14:05:51 - System found infected with regsort Corrupted Adware/Spyware (hkey_local_machine\software\microsoft\windows\currentversion\explorer\alwaysunloaddll)! Action taken: Keine Maßnahme ergriffen. 25 Mrz 2008 14:06:00 - Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d4244125-d3ef-11dc-bb69-0016cfd9f347} !!! 25 Mrz 2008 14:06:00 - Objekt "Possible Fujacks-type Worm" im Dateisystem gefunden! Maßnahme ergriffen: Keine Maßnahme ergriffen. ********************************************************* Ergebnis von Virustotal: Datei swreg.exe empfangen 2008.03.25 18:55:08 (CET) Ergebnis: 2/32 (6.25%) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.26.0 2008.03.25 - AntiVir 7.6.0.75 2008.03.25 - Authentium 4.93.8 2008.03.25 - Avast 4.7.1098.0 2008.03.24 - AVG 7.5.0.516 2008.03.25 - BitDefender 7.2 2008.03.25 - CAT-QuickHeal 9.50 2008.03.24 - ClamAV 0.92.1 2008.03.25 - DrWeb 4.44.0.09170 2008.03.25 - eSafe 7.0.15.0 2008.03.18 suspicious Trojan/Worm eTrust-Vet 31.3.5641 2008.03.25 - Ewido 4.0 2008.03.25 - F-Prot 4.4.2.54 2008.03.24 - F-Secure 6.70.13260.0 2008.03.25 - FileAdvisor 1 2008.03.25 - Fortinet 3.14.0.0 2008.03.25 - Ikarus T3.1.1.20 2008.03.25 - Kaspersky 7.0.0.125 2008.03.25 - McAfee 5259 2008.03.25 - Microsoft 1.3301 2008.03.25 - NOD32v2 2971 2008.03.25 - Norman 5.80.02 2008.03.25 - Panda 9.0.0.4 2008.03.25 Suspicious file Prevx1 V2 2008.03.25 - Rising 20.37.02.00 2008.03.24 - Sophos 4.27.0 2008.03.25 - Sunbelt 3.0.978.0 2008.03.18 - Symantec 10 2008.03.25 - TheHacker 6.2.92.254 2008.03.25 - VBA32 3.12.6.3 2008.03.25 - VirusBuster 4.3.26:9 2008.03.25 - Webwasher-Gateway 6.6.2 2008.03.25 - weitere Informationen File size: 161792 bytes MD5: 01d95a1f8cf13d07cc564aabb36bcc0b SHA1: be229bde90b82d21fe94c67e2b096334e93d78c2 PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser packers: UPX packers: UPX packers: UPX Datei swsc.exe empfangen 2008.03.25 19:28:41 (CET) Antivirus Version letzte aktualisierung Ergebnis AhnLab-V3 2008.3.26.0 2008.03.25 - AntiVir 7.6.0.75 2008.03.25 - Authentium 4.93.8 2008.03.25 - Avast 4.7.1098.0 2008.03.24 - AVG 7.5.0.516 2008.03.25 - BitDefender 7.2 2008.03.25 - CAT-QuickHeal 9.50 2008.03.24 - ClamAV 0.92.1 2008.03.25 - DrWeb 4.44.0.09170 2008.03.25 - eSafe 7.0.15.0 2008.03.18 suspicious Trojan/Worm eTrust-Vet 31.3.5641 2008.03.25 - Ewido 4.0 2008.03.25 - F-Prot 4.4.2.54 2008.03.25 - F-Secure 6.70.13260.0 2008.03.25 - FileAdvisor 1 2008.03.25 - Fortinet 3.14.0.0 2008.03.25 - Ikarus T3.1.1.20 2008.03.25 - Kaspersky 7.0.0.125 2008.03.25 - McAfee 5259 2008.03.25 - Microsoft 1.3301 2008.03.25 - NOD32v2 2971 2008.03.25 - Norman 5.80.02 2008.03.25 - Panda 9.0.0.4 2008.03.25 - Prevx1 V2 2008.03.25 - Rising 20.37.02.00 2008.03.24 - Sophos 4.27.0 2008.03.25 - Sunbelt 3.0.978.0 2008.03.18 - Symantec 10 2008.03.25 - TheHacker 6.2.92.254 2008.03.25 - VBA32 3.12.6.3 2008.03.25 - VirusBuster 4.3.26:9 2008.03.25 - Webwasher-Gateway 6.6.2 2008.03.25 - weitere Informationen File size: 136704 bytes MD5: b7517db073b28f5696a1e5528abeb5d0 SHA1: 00febdeb479da8a4ef7bc79d09aca261a71ceabb PEiD: UPX 2.90 [LZMA] -> Markus Oberhumer, Laszlo Molnar & John Reiser packers: UPX packers: UPX packers: UPX Hilft euch das weiter um mir zu helfen? Viele Grüße Thomas |
Prima, Beitrag editieren, aber sonst nix dazu beitragen? |
Hier nochmal das bemängelte Logfile. Im Übrigen waren das mehr als harmlose Links, die zu Startseiten von DELL, Google und MSN führten. Aber vielleicht interessiert sich ja jetzt einer für mein Problem. Logfile of HijackThis v1.99.1 Scan saved at 19:50:39, on 25.03.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe C:\Programme\lotus\notes\ntmulti.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\Java\jre1.6.0_05\bin\jusched.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\Creative\Mixer\CTSVolFE.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\WINDOWS\stsystra.exe C:\WINDOWS\V0250Mon.exe C:\Programme\Creative\Shared Files\CTSched.exe C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WIDCOMM\Bluetooth Software\BTTray.exe C:\PROGRA~1\WIDCOMM\BLUETO~1\BTSTAC~1.EXE C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\System32\alg.exe C:\Programme\Adobe\Acrobat 6.0\Distillr\AcroTray.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Dokumente und Einstellungen\Thomas\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Page_URL = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\Programme\BAE\BAE.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_05\bin\jusched.exe" O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKLM\..\Run: [CTSVolFE.exe] "C:\Programme\Creative\Mixer\CTSVolFE.exe" /r O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe" O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe O4 - HKLM\..\Run: [V0250Mon.exe] C:\WINDOWS\V0250Mon.exe O4 - HKLM\..\Run: [CreativeTaskScheduler] "C:\Programme\Creative\Shared Files\CTSched.exe" /logon O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQLite\icq6\ICQ.exe" silent O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - C:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQLite\icq6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQLite\icq6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su2/CTL_V02002/ocx/15030/CTPID.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O20 - Winlogon Notify: GoToAssist - C:\Programme\Citrix\GoToAssist\480\G2AWinLogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing) O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Programme\Gemeinsame Dateien\Creative Labs Shared\Service\CreativeLicensing.exe O23 - Service: GoToAssist - Unknown owner - C:\Programme\Citrix\GoToAssist\480\g2aservice.exe" Start=service (file missing) O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: Multi-user Cleanup Service - IBM Corp - C:\Programme\lotus\notes\ntmulti.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe |
Ist ja auch ein bisschen schwierig. Zitat:
Die eScan-Meldungen dürften Fehlalarme sein wie (fast?) alles, was eScan "offending" nennt. "Offending" heißt in diesem Zusammenhang, dass allein aufgrund von Dateinamen auf eine Infektion, noch dazu mit einem ganz bestimmten Schädling, geschlossen wird, was im Allgemeinen Unsinn ist. Allerdings habe ich weder dein HijackThis-Logfile noch den Report der find.bat gesehen und kann daher nichts dazu sagen, ob dein Rechner nun mit irgendwas infiziert ist oder nicht. edit: Inzwischen ist es da, das Logfile von HijackThis, und meiner Meinung nach ist es sauber. Zitat:
|
Hallo Franz, danke erst mal für die Antwort. Natürlich muss sich keiner dafür interessieren, aber es wäre schön wenn :-) Ich habe die Einträge herausgegriffen, in denen E-Scan eindeutig Trojaner erkannt hat, was ja auch von Virustotal bestätigt wurde. Das HiJackThis-Logfile ist, editiert, wieder da (hat sich vermutlich mit Deiner Antwort überschnitten). Lach - wie ich gerade sehe hast Du es auch gerade entdeckt - doppelt überschnitten ist ja auch mal was. Ich habe hier nach einer Anleitung gesucht wie das mit der "find.bat" funktioniert, aber der Link den ich gefunden habe führte ins Nirwana. Wenn Du Dir aber die Mühe machen willst mir zu erklären wie ich die finde, dann stelle ich die auch gerne rein. Ich bin ja durchaus gewillt euch das zu geben was ihr braucht um mir zu helfen, aber das solltet ihr mir dann schon sagen, sonst kann ichs ja nicht wissen. Grüße und nochmal Danke an Franz, Thomas |
Zitat:
Wenn nicht: Welches Problem tritt denn auf? |
Zitat:
Zitat:
|
Zitat:
Du sollst einfach die find.bat abspeichern (Rechtsklick auf den Link -> "Speichern unter" wählen) und sie dann durch Doppelklick starten. Funktioniert das? |
Ah jetzt. Sorry, hab mich schon gewundert. Hat prima funktioniert, hab die Datei jetzt. Hab mir auch nochmal die Anleitung hier für E-Scan durchgelesen...ich denk ich mach das nochmal. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:23 Uhr. |
Copyright ©2000-2025, Trojaner-Board