Trojaner-Board
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30 (https://www.trojaner-board.de/58016-antivir-findet-tr-agent-20992-n-tr-fakealert-um-30-a.html)

mcgrasi 16.08.2008 19:11
AntiVir findet TR/Agent.20992.N und TR/Fakealert.UM.30
 
Hallo Community, ich hätte da mal ein Problem...

Wie ich schon in der Überschrift angemerkt hab, hat mein Avira AntivirGuard heut morgen zwei ungebetene Gäste entdeckt:
TR/Agent.20992.N
TR/Fakealert.UM.30
Diese habe ich in Quarantäne verschoben.


Soweit ich über Google und Forensuche in Erfahrung bringen konnte, sollte zumindest Fakealert "nur" Popups aufrufen, die einen "SysProtect Remover" bewerben, welche in Realität selber wirkungslos bis Schadprogramm sind.
Diese Popups sind bei mir auch schon aufgetaucht.

Ich verwende Windows XP mit SP3

Antivir-Report:


Avira AntiVir Personal
Erstellungsdatum der Reportdatei: Samstag, 16. August 2008 06:38

Es wird nach 1556257 Virenstämmen gesucht.

Lizenznehmer: Avira AntiVir PersonalEdition Classic
Seriennummer: 0000149996-ADJIE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Boot Modus: Normal gebootet
Benutzername: SYSTEM
Computername: MAMARECHNER

Versionsinformationen:
BUILD.DAT : 8.1.0.331 16934 Bytes 12.08.2008 11:44:00
AVSCAN.EXE : 8.1.4.7 315649 Bytes 17.07.2008 21:38:30
AVSCAN.DLL : 8.1.4.0 48897 Bytes 17.07.2008 21:38:30
LUKE.DLL : 8.1.4.5 164097 Bytes 17.07.2008 21:38:30
LUKERES.DLL : 8.1.4.0 12545 Bytes 17.07.2008 21:38:30
ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 17:29:52
ANTIVIR1.VDF : 7.0.5.1 8182784 Bytes 24.06.2008 15:59:25
ANTIVIR2.VDF : 7.0.6.10 2587136 Bytes 14.08.2008 21:27:18
ANTIVIR3.VDF : 7.0.6.23 74240 Bytes 15.08.2008 21:50:58
Engineversion : 8.1.1.19
AEVDF.DLL : 8.1.0.5 102772 Bytes 14.04.2008 20:31:52
AESCRIPT.DLL : 8.1.0.63 311673 Bytes 07.08.2008 13:43:48
AESCN.DLL : 8.1.0.23 119156 Bytes 15.07.2008 21:37:03
AERDL.DLL : 8.1.0.20 418165 Bytes 26.04.2008 20:26:59
AEPACK.DLL : 8.1.2.1 364917 Bytes 15.07.2008 21:37:03
AEOFFICE.DLL : 8.1.0.21 192891 Bytes 18.07.2008 21:36:58
AEHEUR.DLL : 8.1.0.47 1368437 Bytes 07.08.2008 13:43:47
AEHELP.DLL : 8.1.0.15 115063 Bytes 29.05.2008 17:43:11
AEGEN.DLL : 8.1.0.35 315764 Bytes 07.08.2008 13:43:44
AEEMU.DLL : 8.1.0.7 430452 Bytes 02.08.2008 12:49:55
AECORE.DLL : 8.1.1.8 172406 Bytes 02.08.2008 12:49:54
AEBB.DLL : 8.1.0.1 53617 Bytes 17.07.2008 21:38:31
AVWINLL.DLL : 1.0.0.12 15105 Bytes 17.07.2008 21:38:30
AVPREF.DLL : 8.0.2.0 38657 Bytes 17.07.2008 21:38:30
AVREP.DLL : 8.0.0.2 98344 Bytes 31.07.2008 13:18:21
AVREG.DLL : 8.0.0.1 33537 Bytes 17.07.2008 21:38:30
AVARKT.DLL : 1.0.0.23 307457 Bytes 14.04.2008 20:31:51
AVEVTLOG.DLL : 8.0.0.16 119041 Bytes 17.07.2008 21:38:30
SQLITE3.DLL : 3.3.17.1 339968 Bytes 14.04.2008 20:31:52
SMTPLIB.DLL : 1.2.0.23 28929 Bytes 17.07.2008 21:38:31
NETNT.DLL : 8.0.0.1 7937 Bytes 14.04.2008 20:31:52
RCIMAGE.DLL : 8.0.0.51 2371841 Bytes 17.07.2008 21:38:23
RCTEXT.DLL : 8.0.52.0 86273 Bytes 17.07.2008 21:38:23

Konfiguration für den aktuellen Suchlauf:
Job Name.........................: Vollständige Systemprüfung
Konfigurationsdatei..............: c:\programme\antivir personaledition classic\sysscan.avp
Protokollierung..................: niedrig
Primäre Aktion...................: interaktiv
Sekundäre Aktion.................: ignorieren
Durchsuche Masterbootsektoren....: ein
Durchsuche Bootsektoren..........: ein
Bootsektoren.....................: C:, D:, E:,
Durchsuche aktive Programme......: ein
Durchsuche Registrierung.........: ein
Suche nach Rootkits..............: aus
Datei Suchmodus..................: Intelligente Dateiauswahl
Durchsuche Archive...............: ein
Rekursionstiefe einschränken.....: 20
Archiv Smart Extensions..........: ein
Makrovirenheuristik..............: ein
Dateiheuristik...................: mittel

Beginn des Suchlaufs: Samstag, 16. August 2008 06:38

Der Suchlauf über gestartete Prozesse wird begonnen:
Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jucheck.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'AcroRd32.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpsysdrv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wuauclt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'IEXPLORE.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ALCXMNTR.EXE' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'kbd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'HPZipm12.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ICQ.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'realsched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'qttask.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hphmon05.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'hpwuSchd.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'CLI.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'wdfmgr.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'GoogleUpdaterService.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'ati2evxx.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht
Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht
Es wurden '41' Prozesse mit '41' Modulen durchsucht

Der Suchlauf über die Masterbootsektoren wird begonnen:
Masterbootsektor HD0
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD1
[INFO] Es wurde kein Virus gefunden!
Masterbootsektor HD2
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD3
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD4
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD5
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.
Masterbootsektor HD6
[INFO] Es wurde kein Virus gefunden!
[WARNUNG] Systemfehler [21]: Das Gerät ist nicht bereit.

Der Suchlauf über die Bootsektoren wird begonnen:
Bootsektor 'C:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'D:\'
[INFO] Es wurde kein Virus gefunden!
Bootsektor 'E:\'
[INFO] Es wurde kein Virus gefunden!

Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen.
Die Registry wurde durchsucht ( '62' Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'C:\' <HP_PAVILION>
C:\hiberfil.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\__c002E978.exe
[FUND] Ist das Trojanische Pferd TR/Fakealert.UM.30
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49097593.qua' verschoben!
Beginne mit der Suche in 'D:\' <ALTE PLATTE>
D:\WINDOWS\SYSTEM\jesterss.dll
[FUND] Ist das Trojanische Pferd TR/Agent.20992.N
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '49197724.qua' verschoben!
D:\System Volume Information\_restore{2005CC72-E1D4-412C-8599-FDC32E05059E}\RP469\A0051196.dll
[FUND] Ist das Trojanische Pferd TR/Agent.20992.N
[HINWEIS] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '48d67b51.qua' verschoben!
Beginne mit der Suche in 'E:\' <HP_RECOVERY>


Ende des Suchlaufs: Samstag, 16. August 2008 09:09
Benötigte Zeit: 2:31:03 Stunde(n)

Der Suchlauf wurde vollständig durchgeführt.

23139 Verzeichnisse wurden überprüft
1040611 Dateien wurden geprüft
3 Viren bzw. unerwünschte Programme wurden gefunden
0 Dateien wurden als verdächtig eingestuft
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
3 Dateien wurden in die Quarantäne verschoben
0 Dateien wurden umbenannt
2 Dateien konnten nicht durchsucht werden
1040606 Dateien ohne Befall
28397 Archive wurden durchsucht
7 Warnungen
3 Hinweise


HJT-Log:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:05:30, on 16.08.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe
C:\Programme\HP\HP Software Update\HPWuSchd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\hphmon05.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://wuerzburg.spinchat.de/
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [HPHUPD08] c:\Programme\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [HPBootOp] "C:\Programme\Hewlett-Packard\HP Boot Optimizer\HPBootOp.exe" /run
O4 - HKLM\..\Run: [Reminder] "C:\Windows\Creator\Remind_XP.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [regcmdcons] c:\hp\bin\cloaker.exe c:\hp\bin\cmdcons.cmd
O4 - HKLM\..\Run: [HPHUPD05] C:\Programme\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe
O4 - HKLM\..\Run: [HPHmon05] C:\WINDOWS\system32\hphmon05.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra 'Tools' menuitem: Hilfe zu Verbindungen - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - h**p://w*w.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - h**p://dl.tvunetworks.com/TVUAx.cab
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - h**p://w*w.studivz.net/photouploader/ImageUploader4.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**ps://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: a4f56075382 - C:\WINDOWS\system32\__c00F24C4.dat
O20 - Winlogon Notify: __c00F6D9 - C:\WINDOWS\system32\__c00F6D9.dat
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe

--
End of file - 7107 bytes


Anfangs dachte ich, Antivir hätte es alles im Griff gehabt, aber daran zweifle ich, seit das letzte mal das Popupfester für den Sysremover kam...
Worüber ich bisher auch noch keine Info habe, ist die Frage, ob die Einträge im HJT-Log unter O 20 (Winlogon Notify) so in Ordnung sind oder es ein Hinweis auf Malwarebefall ist. Die Google-Suche nach Winlogon Notify ergibt v.a. Virtumondo und ähnlich klingende Namen, die allerdings im O 20-Bereich eine .dll stehen haben - keine .dat

Ich hoffe, es kann mir jemand helfen und paar Hinweise geben, was ich mir eingefangen habe und wie ich es wieder los werde...
Vielen Dank schon mal im Voraus

Silent sharK 16.08.2008 19:54
Hi,
gehe bitte wie folgt vor:

1.)

Dateien Online überprüfen lassen:
  • Suche die Seite Virtustotal auf, klicke auf den Button „Durchsuchen“ und suche folgende Datei/Dateien:
Code:
C:\WINDOWS\system32\__c00F24C4.dat
C:\WINDOWS\system32\__c00F6D9.dat
  • Lade nun nacheinander jede/alle Datei/Dateien hoch, und warte bis der Scan vorbei ist. (kann bis zu 2 Minuten dauern.)
  • Poste im Anschluss das Ergebnis der Auswertung, alles abkopieren und in einen Beitrag einfügen.
  • Wichtig: Auch die Größenangabe sowie den HASH mit kopieren!

2.)
Folge der Anleitung von MalwareBytes und SuperAntiSpyware .

Außerdem, du bringst viel Eigeninitiative mit :daumenhoc finde ich klasse, sowas sieht man hier selten.

mfg

mcgrasi 16.08.2008 20:10
virustotal-scan von __c00F24C4.dat
Code:
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 -
BitDefender 7.2 2008.08.16 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 -
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -
F-Prot 4.4.4.56 2008.08.16 -
F-Secure 7.60.13501.0 2008.08.16 -
Fortinet 3.14.0.0 2008.08.16 -
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.16 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 -
NOD32v2 3360 2008.08.15 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.16 Fraudulent Security Program
Rising 20.57.52.00 2008.08.16 Packer.Win32.Mian007.a
Sophos 4.32.0 2008.08.16 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.16 -
Webwasher-Gateway 6.6.2 2008.08.16 Win32.Malware.gen!80 (suspicious)
weitere Informationen
File size: 74240 bytes
MD5...: 09cf1996766d5844ba579adea87a62db
SHA1..: c5cc88e2665d0f5a3aeb081d40e721f5cfb92933
SHA256: dbbca1553ebae872326fba0cc52473e35da98796a0f9841f96dffe446b51a344
SHA512: e13b5da23fd452817f7100b229cbb3dadff3627cfb9be762663407bb779f3351
09298b371798dc704ce42c1fed160358f6797353f87e9a79a120fe9d4dde1d18
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x100011e5
timedatestamp.....: 0x0 (Thu Jan 01 00:00:00 1970)
machinetype.......: 0x14c (I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x17bc 0x1800 7.61 cdd901334671871f8e14e70a5c0d2a1c
.data 0x3000 0x17f6b 0xfc00 7.99 7a40bce841666accc27668d928239eea
.rsrc 0x1b000 0x974 0xa00 1.76 fd08323275ec26a818d330777eab4e00

( 2 imports )
> KERNEL32.dll: GetFileSize, GetLocalTime, TlsFree, VirtualAlloc, lstrcmpiA, lstrlenA, FlushFileBuffers
> msvcrt.dll: _XcptFilter, __set_app_type, _cexit, _except_handler3, _stricmp, malloc, time

( 0 exports )
 
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=28988FD3002E5C3022CA01F9B3042500BFF89D65

virustotal-scan von __c00F6D9.dat
Code:
AhnLab-V3 2008.8.15.0 2008.08.15 -
AntiVir 7.8.1.19 2008.08.16 -
Authentium 5.1.0.4 2008.08.16 -
Avast 4.8.1195.0 2008.08.15 -
AVG 8.0.0.161 2008.08.16 -
BitDefender 7.2 2008.08.16 -
CAT-QuickHeal 9.50 2008.08.16 -
ClamAV 0.93.1 2008.08.16 -
DrWeb 4.44.0.09170 2008.08.16 -
eSafe 7.0.17.0 2008.08.14 Suspicious File
eTrust-Vet 31.6.6035 2008.08.15 -
Ewido 4.0 2008.08.16 -
F-Prot 4.4.4.56 2008.08.16 -
Fortinet 3.14.0.0 2008.08.16 -
GData 2.0.7306.1023 2008.08.16 -
Ikarus T3.1.1.34.0 2008.08.16 -
K7AntiVirus 7.10.417 2008.08.15 -
Kaspersky 7.0.0.125 2008.08.16 -
McAfee 5362 2008.08.15 -
Microsoft 1.3807 2008.08.16 -
NOD32v2 3360 2008.08.15 -
Norman 5.80.02 2008.08.15 -
Panda 9.0.0.4 2008.08.16 -
PCTools 4.4.2.0 2008.08.16 -
Prevx1 V2 2008.08.16 Fraudulent Security Program
Rising 20.57.52.00 2008.08.16 -
Sophos 4.32.0 2008.08.16 -
Sunbelt 3.1.1546.1 2008.08.15 -
Symantec 10 2008.08.16 -
TheHacker 6.3.0.3.046 2008.08.13 -
TrendMicro 8.700.0.1004 2008.08.16 -
VBA32 3.12.8.3 2008.08.15 -
ViRobot 2008.8.16.1338 2008.08.16 -
VirusBuster 4.5.11.0 2008.08.16 -
Webwasher-Gateway 6.6.2 2008.08.16 Win32.Malware.gen!80 (suspicious)
weitere Informationen
File size: 30208 bytes
MD5...: 6695a99e56e61083b3a2766caef70b1c
SHA1..: 2a113e3ab0652b601d207202764c8f9029270d4e
SHA256: bc7898329178ad2ed95625a0b57bb7f6f8a726a7c21e1931b46d33073f1d00d3
SHA512: 047530431f65a8f6eec3a01bb2e5beb917efe27e9a2daa590f1e119df10b68a2
ed70bde47ce0db8e6a335035a35b608f236e65de6604acf184ebe808257a3815
PEiD..: -
PEInfo: -
Prevx info: h**p://info.prevx.com/aboutprogramtext.asp?PX5=BCAB5A10007358EE76AE00B4AA07BD003C223D56
naja n bissl eigeninitiative muss scho sein - von allein löst sich nix :)
höchstens für meine mutter, ist eigentlich ihr rechner, rest kann man sich denken :rolleyes:

und ich hab ja eigentlich zu danken, dass ihr fachleute eure freizeit für uns armen user opfert...

werde mal malwarebytes in angriff nehmen...

Silent sharK 16.08.2008 20:14
Zitat:
und ich hab ja eigentlich zu danken, dass ihr fachleute eure freizeit für uns armen user opfert...
No problem,
ist auch eigentlich eine Art Hobby von mir. ;)

mcgrasi 16.08.2008 20:24
durchsucht das proggi alle dateien (=lange suchdauer bei vielen dateien auf der platte) oder suchts mit system (=kurze zeit)?
gibts sowas wie erfahrungswerte, wie lang die suche braucht?

Silent sharK 16.08.2008 20:28
Das ist unterschiedlich.
Und ja, es sucht alle Dateien ab und es entfernt Schädlinge auch ;)

mcgrasi 16.08.2008 20:32
hmmm ich befürchte, der durchsucht grad recht zeitaufwendig die sammlung der urlaubsfotos...

Silent sharK 16.08.2008 20:35
:lach:
Du kannst ja deine Partitionen einzeln scannen. ;)

mcgrasi 16.08.2008 20:37
ich glaub, da rächt sich meine faulheit...
die urlaubsbilder sind unter eigene dateien->eigene bilder drin, also auch auf c:
und das obwohl ich ne zweite physische festplatte hab :headbang:
aber wie heissts so schön... aus fehlern lernt man...

Silent sharK 16.08.2008 20:39
Genau das gleiche Problem hatte ich auch mal. :D

mcgrasi 16.08.2008 20:53
hab grad mal nachgeschaut. antivir hat heut morgen für knapp > 1 mio dateien (woher kommen die alle? soviele fotos sinds auch nicht - oder sinds etwa irgendwelche daten von meinen spielen?) 3 stunden gebraucht.
malware ist jetzt nach ner 40 min bei 70k dateien...
soll ich lieber abbrechen und paar alte spiele runterschmeissen?

Silent sharK 16.08.2008 20:56
Zitat:
soll ich lieber abbrechen und paar alte spiele runterschmeissen?
Nein, nicht abbrechen.
Ja, bei Spielen ist es bekannt, das diese viele Dateien erstellen.
Am besten mal den CCleaner besorgen und schauen, welche Programme installiert sind. Die unnötigen dann deinstallieren und nebenbei auch noch die Registry mit dem Cleaner säubern. ;)

mcgrasi 16.08.2008 20:58
ccleaner nach oder während dem scan?

Silent sharK 16.08.2008 21:00
Alles danach, sonst könnte es Probleme geben.

mcgrasi 16.08.2008 22:31
Code:
Malwarebytes' Anti-Malware 1.24
Datenbank Version: 1059
Windows 5.1.2600 Service Pack 3

23:29:18 16.08.2008
mbam-log-8-16-2008 (23-29-18).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|)
Durchsuchte Objekte: 372041
Laufzeit: 2 hour(s), 10 minute(s), 59 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 2
Infizierte Registrierungsschlüssel: 2
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 4

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\WINDOWS\system32\__c00F6D9.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\__c00F24C4.dat (Trojan.Zlob) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\a4f56075382 (Trojan.Agent) -> Delete on reboot.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00f6d9 (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\WINDOWS\system32\__c00F24C4.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\__c00F6D9.dat (Trojan.Agent) -> Delete on reboot.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\HP_Besitzer\Lokale Einstellungen\Temp\CmdLineExt02.dll (Trojan.Agent) -> Quarantined and deleted successfully.
habe die 8 einträge (wie es in der anleitung steht) gelöscht.
habe jetzt eine box:
Code:
Bestimmte Objekte konnten nicht entfernt werden! Die ersten paar Einträge werden aufgeführt. Alle Objekte, die nicht entfernt werden konnten, wurden derListe "Löschen bei Neustart" hinzugefügt. Bitte starten Sie Ihren jetzt Rechner neu.Eine Logdatei wurde im Logdatei-Verzeichnis gespeichert.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\a4f56075382
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\__c00f6d9
C:\WINDOWS\system32\__c00F24C4.dat
C:\WINDOWS\system32\__c00F6D9.dat

Ihr Rechner muss neugestartet werden, um den Entfernungsprozeß zu vervollständigen. Wollen Sie weitermachen?

Ja / Nein zum Anklicken
p.s. per hand getippselt, copy/paste ging nicht, deswegen hats paar minuten gedauert...


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:32 Uhr.
Seite 1 von 2 1 2
100 Beiträge dieses Themas auf einer Seite anzeigen

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27