Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Evtl Virus eingefangen? (https://www.trojaner-board.de/75772-evtl-virus-eingefangen.html)

josy1982 26.07.2009 11:42

Evtl Virus eingefangen?
 
Hallo,

wollte mich mal heute über ein kostenloses mmorpg informieren als mein Antivirus Programm folgendes meldete:

Code:

Schwachstelle                                                  Aktion                                                          Datum                                                          Virusquelle                                                    Prozess greift auf infizierte Datei zu                          Datei                                                         
risks.url(ignored)                                              Script ausführen                                                2009-07-26 12:18:03                                                                                                            "C:\Programme\Internet Explorer\iexplore.exe"                  http://www.cyberwar.net/                                       
Suspicious.ShellCode.Exploit                                    Script überspringen                                            2009-07-26 12:18:02                                            http://91.212.198.116/lib/update.php?id=6                      "C:\Programme\Internet Explorer\iexplore.exe"                  http://reycross.net/lib/index.php


Hier mal Hijackthis Auswertung:

Code:

ogfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:37:51, on 26.07.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Rising\Rav\CCENTER.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Rising\Rav\RavTask.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Rising\Rav\RavMonD.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Rising\Rav\rsnetsvr.exe
C:\Programme\a-squared Free\a2service.exe
C:\Programme\PC Tools Firewall Plus\FWService.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\Programme\Rising\Rav\ScanFrm.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Rising\Rav\RsTray.exe
C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe
C:\Programme\Rising\Rav\rsmain.exe
C:\Programme\Orbitdownloader\orbitdm.exe
C:\WINDOWS\system32\msiexec.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://izarc.org/donate.html
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [RavTray] "C:\Programme\Rising\Rav\RsTray.exe" -system
O4 - HKLM\..\Run: [00PCTFW] "C:\Programme\PC Tools Firewall Plus\FirewallGUI.exe" -s
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1247420074937
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1247422214171
O16 - DPF: {D6FCA8ED-4715-43DE-9BD2-2789778A5B09} - http://update.nprotect.net/keycrypt/cabal/npkcx_inca.cab
O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PC Tools Firewall Plus (PCToolsFirewallPlus) - PC Tools - C:\Programme\PC Tools Firewall Plus\FWService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Rav Process Communication Center (RavCCenter) - Beijing Rising Information Technology Co., Ltd. - C:\Programme\Rising\Rav\CCENTER.EXE
O23 - Service: Rising RavTask Manager (RavTask) - Beijing Rising Information Technology Co., Ltd. - C:\Programme\Rising\Rav\RavTask.exe
O23 - Service: Rising RealTime Monitor (RsRavMon) - Beijing Rising Information Technology Co., Ltd. - C:\Programme\Rising\Rav\RavMonD.exe
O23 - Service: Rising Scan Service (RsScanSrv) - Beijing Rising Information Technology Co., Ltd. - C:\Programme\Rising\Rav\ScanFrm.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe

--
End of file - 5482 bytes


Kann mir jemand da weitere Tipps geben wie ich fortfahren sollte?

danke

Isuya 26.07.2009 17:23

im hijack file konnte ich keinen virus o.ä entdecken.
die seite auf der du dich informieren wolltest ist virenverseucht.
Google Safe Browsing-Diagnoseseite für 91.212.198.0
ich rate dir davon ab dich dort irgendwie um zu schauen oder etwas zu downloaden.
was mich aber interessieren würde, um welches mmorpg handelt es sich?

josy1982 26.07.2009 17:51

Hi,

das Spiel hiess Rubies of Eventide oder so öhnlich und bin auf dieser seite gelandet. Nunja ich werde die seite dann meiden. Also dürfte das rising dies geblockt haben oder?

lg

Isuya 26.07.2009 18:20

das spiel kannst du ja noch über die offiziele homepage downloaden, im falle das du von dort nicht die virus meldung bekommen hast.
dein virus programm hatt den virus ja entdeckt, wie du ja erwähnt hattest und somit auch geblockt.das hjack file ist sauber also bist du virenfrei :)

Larusso 26.07.2009 23:43

Eine "saubere" Hijackthis Logfile bedeutet nicht dass der Rechner auch sauber ist :twak:

josy1982 27.07.2009 12:16

Hallo,

da hast du sicherlich recht. Was würdest du mir denn empfehlen. Was ich danach gemacht habe war das Antiviren Programm nochmals angeschmissen und ein Komplattscan mit Max Heuristik scan, MBAM komplett drüber laufen lassen und a-squered nochmal drüber laufen lassen und sohpos ani rootkit bei allen kein Fund.

Was sollte ich evtl. nochmal s genau prüfen??

LG

Larusso 27.07.2009 13:17

was ich dir empfehlen würde, schmeis a-squarde mal vom rechner.
Oft ist weniger mehr :)

Ansonsten noch eine Grundbereinigung machen wie Browser cache etc mal leeren sowie die Temps.

Wenn Du dazu eine Anleitung brauchst, einfach fragen.
Danach nur rein aus Sicherheitsgründen würde ich Dir mal folgendes "aufbrummen" :D

Kaspersky - Onlinescanner

Dieser Scanner entfernt die Funde nicht, gibt aber einen guten Überblick über die vorhandene Malware.

---> hier herunterladen => Kaspersky Online Scanner
=> Hinweise zu älteren Versionen beachten!
=> Voraussetzung: Internet Explorer 6.0 oder höher
=> die nötigen ActiveX-Steuerelemente installieren => Update der Signaturen => Weiter
=> Scan-Einstellungen => Standard wählen => OK => Link "Arbeitsplatz" anklicken
=> Scan beginnt automatisch => Untersuchung wurde abgeschlossen => Protokoll speichern als
=> Dateityp auf .txt umstellen => auf dem Desktop als Kaspersky.txt speichern => Log hier posten
=> Deinstallation => Systemsteuerung => Software => Kaspersky Online Scanner entfernen

josy1982 27.07.2009 13:22

Hier mal die zwei scalogs:

Zitat:

Sophos Anti-Rootkit Version 1.5.0 (c) 2009 Sophos Plc
Started logging on 27.07.2009 at 14:13:16
User "jXXXXX" on computer "XXXXXXXXX"
Windows version 5.1 SP 3.0 Service Pack 3 build 2600 SM=0x300 PT=0x1 Win32
Info: Starting process scan.
Info: Starting registry scan.
Info: Starting disk scan of C: (NTFS).
Hidden: file C:\WINDOWS\system32\drivers\sptd.sys
Hidden: file C:\Dokumente und Einstellungen\XXXXXXXX\Lokale Einstellungen\Temp\~DF7226.tmp
Stopped logging on 27.07.2009 at 14:18:37
Zitat:

Malwarebytes' Anti-Malware 1.39
Datenbank Version: 2504
Windows 5.1.2600 Service Pack 3

26.07.2009 14:18:35
mbam-log-2009-07-26 (14-18-35).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 124941
Laufzeit: 11 minute(s), 21 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

josy1982 27.07.2009 17:25

Hallo,

wie gewünscht habe ich einen Online Scan mit Kaspersky durchgeführt anbei nun das ergbnis:

Zitat:

--------------------------------------------------------------------------------
KASPERSKY ONLINE SCANNER 7.0 REPORT
Monday, July 27, 2009
Operating System: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)
Kaspersky Online Scanner version: 7.0.26.13
Program database last update: Monday, July 27, 2009 17:17:02
Records in database: 2555078
--------------------------------------------------------------------------------

Scan settings:
Scan using the following database: extended
Scan archives: yes
Scan mail databases: yes

Scan area - My Computer:
A:\
C:\
D:\

Scan statistics:
Files scanned: 39901
Threat name: 0
Infected objects: 0
Suspicious objects: 0
Duration of the scan: 00:44:32

No malware has been detected. The scan area is clean.

The selected area was scanned.

Larusso 27.07.2009 17:39

ich habe trotzdem ein ungewöhnliches Bauchgefühl

bitte bei Virustotal prüfen.
Code:

C:\Programme\Internet Explorer\iexplore.exe

josy1982 27.07.2009 18:18

Hallo,

ich habe deinen Anweisungen nach mal die Datei bei Virus Total eingesendet Ergebnis folgend aufgelistet:

Zitat:

Ergebnis: 0/33 (0.00%)

a-squared 4.5.0.24 2009.07.27 -
AhnLab-V3 5.0.0.2 2009.07.27 -
AntiVir 7.9.0.228 2009.07.27 -
Antiy-AVL 2.0.3.7 2009.07.27 -
Authentium 5.1.2.4 2009.07.27 -
Avast 4.8.1335.0 2009.07.26 -
AVG 8.5.0.387 2009.07.27 -
BitDefender 7.2 2009.07.27 -
CAT-QuickHeal 10.00 2009.07.27 -
ClamAV 0.94.1 2009.07.27 -
Comodo 1785 2009.07.27 -
eSafe 7.0.17.0 2009.07.27 -
eTrust-Vet 31.6.6642 2009.07.27 -
F-Prot 4.4.4.56 2009.07.27 -
Fortinet 3.120.0.0 2009.07.27 -
Ikarus T3.1.1.64.0 2009.07.27 -
Jiangmin 11.0.800 2009.07.27 -
K7AntiVirus 7.10.803 2009.07.27 -
Kaspersky 7.0.0.125 2009.07.27 -
McAfee+Artemis 5690 2009.07.27 -
NOD32 4282 2009.07.27 -
Norman 6.01.09 2009.07.27 -
nProtect 2009.1.8.0 2009.07.27 -
PCTools 4.4.2.0 2009.07.27 -
Prevx 3.0 2009.07.27 -
Rising 21.40.03.00 2009.07.27 -
Sophos 4.44.0 2009.07.27 -
Sunbelt 3.2.1858.2 2009.07.26 -
Symantec 1.4.4.12 2009.07.27 -
TheHacker 6.3.4.3.374 2009.07.26 -
TrendMicro 8.950.0.1094 2009.07.27 -
ViRobot 2009.7.27.1855 2009.07.27 -
VirusBuster 4.6.5.0 2009.07.27 -

Larusso 27.07.2009 18:21

Oki sieht schon mal gut aus :)

eine hät ich noch auf anweisung von einem Kollegen.
Code:

C:\Dokumente und Einstellungen\XXXXXXXX\Lokale Einstellungen\Temp\~DF7226.tmp
Bitte ersetze die XXX mit dem richtigen Pfad und kopiere diese Zeile in die Browserzeile von VT.
Du wirst diese wahrscheinlich nicht finden.

josy1982 27.07.2009 18:27

Hi,

also Diese Datei exestiert nicht bei mir.

Larusso 27.07.2009 18:31

na dann suchen wir diese Datei :)
  • Lade Random's System Information Tool (RSIT) herunter,
  • speichere es auf Deinem Desktop.
  • Starte mit Doppelklick die RSIT.exe.
  • Klicke auf Continue, um die Nutzungsbedingungen zu akzeptieren.
  • Der Scan startet automatisch, RSIT checkt nun einige wichtige System-Bereiche und produziert Logfiles als Analyse-Grundlage.
  • Wenn der Scan beendet ist, werden zwei Logfiles erstellt und in Deinem Editor geöffnet.
  • Bitte poste den Inhalt von C:\rsit\log.txt und C:\rsit\info.txt


schritt 2

Wende bitte Gmer wie beschrieben an

josy1982 27.07.2009 21:15

Hallo,

so habe alle Logs nach Anleitung erstellt da dieses hier den Rahmen sprengen würde die logs deshalb als Anhang.

lg


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:48 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131