Trojaner-Board - Evtl Virus eingefangen?

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Evtl Virus eingefangen? (https://www.trojaner-board.de/75772-evtl-virus-eingefangen.html)

Evtl Virus eingefangen?

Hallo,

wollte mich mal heute über ein kostenloses mmorpg informieren als mein Antivirus Programm folgendes meldete:

Code:

Schwachstelle                                                   Aktion                                                          Datum                                                           Virusquelle                                                     Prozess greift auf infizierte Datei zu                          Datei                                                           

risks.url(ignored)                                              Script ausführen                                                2009-07-26 12:18:03                                                                                                             "C:\Programme\Internet Explorer\iexplore.exe"                   http://www.cyberwar.net/                                        

Suspicious.ShellCode.Exploit                                    Script überspringen                                             2009-07-26 12:18:02                                             http://91.212.198.116/lib/update.php?id=6                       "C:\Programme\Internet Explorer\iexplore.exe"                   http://reycross.net/lib/index.php

Hier mal Hijackthis Auswertung:

Code:

ogfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:37:51, on 26.07.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Rising\Rav\CCENTER.EXE

C:\WINDOWS\System32\svchost.exe

C:\Programme\Rising\Rav\RavTask.exe

C:\WINDOWS\system32\svchost.exe

C:\Programme\Rising\Rav\RavMonD.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Rising\Rav\rsnetsvr.exe

C:\Programme\a-squared Free\a2service.exe

C:\Programme\PC Tools Firewall Plus\FWService.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Programme\Rising\Rav\ScanFrm.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Programme\Rising\Rav\RsTray.exe

C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe

C:\Programme\Rising\Rav\rsmain.exe

C:\Programme\Orbitdownloader\orbitdm.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Internet Explorer\iexplore.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = 

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = 

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://izarc.org/donate.html

O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [RavTray] "C:\Programme\Rising\Rav\RsTray.exe" -system

O4 - HKLM\..\Run: [00PCTFW] "C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" -s

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime

O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201

O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204

O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203

O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247420074937

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1247422214171

O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programme\PC Tools Firewall Plus\FWService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Rav Process Communication Center (RavCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Programme\Rising\Rav\CCENTER.EXE

O23 - Service: Rising RavTask Manager (RavTask) - Beijing Rising Information Technology Co., Ltd. - C:\Programme\Rising\Rav\RavTask.exe

O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\Programme\Rising\Rav\RavMonD.exe

O23 - Service: Rising Scan Service (RsScanSrv) - Beijing Rising Information Technology Co., Ltd. - C:\Programme\Rising\Rav\ScanFrm.exe

O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
 

--

End of file - 5482 bytes

Kann mir jemand da weitere Tipps geben wie ich fortfahren sollte?

danke

im hijack file konnte ich keinen virus o.ä entdecken.
die seite auf der du dich informieren wolltest ist virenverseucht.
Google Safe Browsing-Diagnoseseite für 91.212.198.0
ich rate dir davon ab dich dort irgendwie um zu schauen oder etwas zu downloaden.
was mich aber interessieren würde, um welches mmorpg handelt es sich?

Hi,

das Spiel hiess Rubies of Eventide oder so öhnlich und bin auf dieser seite gelandet. Nunja ich werde die seite dann meiden. Also dürfte das rising dies geblockt haben oder?

lg

das spiel kannst du ja noch über die offiziele homepage downloaden, im falle das du von dort nicht die virus meldung bekommen hast.
dein virus programm hatt den virus ja entdeckt, wie du ja erwähnt hattest und somit auch geblockt.das hjack file ist sauber also bist du virenfrei :)

Eine "saubere" Hijackthis Logfile bedeutet nicht dass der Rechner auch sauber ist :twak:

Hallo,

da hast du sicherlich recht. Was würdest du mir denn empfehlen. Was ich danach gemacht habe war das Antiviren Programm nochmals angeschmissen und ein Komplattscan mit Max Heuristik scan, MBAM komplett drüber laufen lassen und a-squered nochmal drüber laufen lassen und sohpos ani rootkit bei allen kein Fund.

Was sollte ich evtl. nochmal s genau prüfen??

LG

was ich dir empfehlen würde, schmeis a-squarde mal vom rechner.
Oft ist weniger mehr :)

Ansonsten noch eine Grundbereinigung machen wie Browser cache etc mal leeren sowie die Temps.

Wenn Du dazu eine Anleitung brauchst, einfach fragen.
Danach nur rein aus Sicherheitsgründen würde ich Dir mal folgendes "aufbrummen" :D

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

Hier mal die zwei scalogs:

Zitat:

Sophos Anti-Rootkit Version 1.5.0 (c) 2009 Sophos Plc
Started logging on 27.07.2009 at 14:13:16
User "jXXXXX" on computer "XXXXXXXXX"
Windows version 5.1 SP 3.0 Service Pack 3 build 2600 SM=0x300 PT=0x1 Win32
Info: Starting process scan.
Info: Starting registry scan.
Info: Starting disk scan of C: (NTFS).
Hidden: file C:\WINDOWS\system32\drivers\sptd.sys
Hidden: file C:\Dokumente und Einstellungen\XXXXXXXX\Lokale Einstellungen\Temp\~DF7226.tmp
Stopped logging on 27.07.2009 at 14:18:37

Zitat:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2504
Windows 5.1.2600 Service Pack 3

26.07.2009 14:18:35
mbam-log-2009-07-26 (14-18-35).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 124941
Laufzeit: 11 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Hallo,

wie gewünscht habe ich einen Online Scan mit Kaspersky durchgeführt anbei nun das ergbnis:

Zitat:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0 REPORT
Monday, July 27, 2009
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Program database last update: Monday, July 27, 2009 17:17:02
Records in database: 2555078
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\

Scan statistics:
Files scanned: 39901
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 00:44:32

No malware has been detected. The scan area is clean.

The selected area was scanned.

ich habe trotzdem ein ungewöhnliches Bauchgefühl

bitte bei Virustotal prüfen.

Code:

C:\Programme\Internet Explorer\iexplore.exe

Hallo,

ich habe deinen Anweisungen nach mal die Datei bei Virus Total eingesendet Ergebnis folgend aufgelistet:

Zitat:

Ergebnis: 0/33 (0.00%)

a-squared 4.5.0.24 2009.07.27 -
AhnLab-V3 5.0.0.2 2009.07.27 -
AntiVir 7.9.0.228 2009.07.27 -
Antiy-AVL 2.0.3.7 2009.07.27 -
Authentium 5.1.2.4 2009.07.27 -
Avast 4.8.1335.0 2009.07.26 -
AVG 8.5.0.387 2009.07.27 -
BitDefender 7.2 2009.07.27 -
CAT-QuickHeal 10.00 2009.07.27 -
ClamAV 0.94.1 2009.07.27 -
Comodo 1785 2009.07.27 -
eSafe 7.0.17.0 2009.07.27 -
eTrust-Vet 31.6.6642 2009.07.27 -
F-Prot 4.4.4.56 2009.07.27 -
Fortinet 3.120.0.0 2009.07.27 -
Ikarus T3.1.1.64.0 2009.07.27 -
Jiangmin 11.0.800 2009.07.27 -
K7AntiVirus 7.10.803 2009.07.27 -
Kaspersky 7.0.0.125 2009.07.27 -
McAfee+Artemis 5690 2009.07.27 -
NOD32 4282 2009.07.27 -
Norman 6.01.09 2009.07.27 -
nProtect 2009.1.8.0 2009.07.27 -
PCTools 4.4.2.0 2009.07.27 -
Prevx 3.0 2009.07.27 -
Rising 21.40.03.00 2009.07.27 -
Sophos 4.44.0 2009.07.27 -
Sunbelt 3.2.1858.2 2009.07.26 -
Symantec 1.4.4.12 2009.07.27 -
TheHacker 6.3.4.3.374 2009.07.26 -
TrendMicro 8.950.0.1094 2009.07.27 -
ViRobot 2009.7.27.1855 2009.07.27 -
VirusBuster 4.6.5.0 2009.07.27 -

Oki sieht schon mal gut aus :)

eine hät ich noch auf anweisung von einem Kollegen.

Code:

C:\Dokumente und Einstellungen\XXXXXXXX\Lokale Einstellungen\Temp\~DF7226.tmp

Bitte ersetze die XXX mit dem richtigen Pfad und kopiere diese Zeile in die Browserzeile von VT.
Du wirst diese wahrscheinlich nicht finden.

Hi,

also Diese Datei exestiert nicht bei mir.

na dann suchen wir diese Datei :)

Lade Random's System Information Tool (RSIT) herunter,
speichere es auf Deinem Desktop.
Starte mit Doppelklick die RSIT.exe.
Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt

schritt 2

Wende bitte Gmer wie beschrieben an

Hallo,

so habe alle Logs nach Anleitung erstellt da dieses hier den Rahmen sprengen würde die logs deshalb als Anhang.

lg