Win32/zapachst éingefangen

#0
03.03.2005, 12:02
Member

Beiträge: 11
#1 Hallo ihr,
brauche bitte mal wieder eure Hilfe. hab mir gestern win32/zapachst. 158366! Trojan eingefangen (laut Meldung von etrust antivirus). Die dateine wurden dann auch gelöscht, aber nun hat er noch auf c:\recycled\dc\... dasselbe angemosert, diesen Ordner gibt es aber bei mir gar nicht ( versteckte dateien sind aktiv). Hab jetzt escan drüber laufen lassen hier ein Auszug:

escan-Auszug:

Thu Mar 03 10:38:53 2005 => Scanning File C:\RECYCLED\DC2\wssetup.exe
Thu Mar 03 11:04:59 2005 => File C:\RECYCLED\DC2\wssetup.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Mar 03 11:18:29 2005 => Scanning File D:\downloads\programs\webaniml.exe
Thu Mar 03 11:18:30 2005 => File D:\downloads\programs\webaniml.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Thu Mar 03 11:21:24 2005 => ***** Scanning complete. *****

Thu Mar 03 11:21:24 2005 => Total Files Scanned: 33427
Thu Mar 03 11:21:24 2005 => Total Virus(es) Found: 2
Thu Mar 03 11:21:24 2005 => Total Disinfected Files: 0
Thu Mar 03 11:21:24 2005 => Total Files Renamed: 0
Thu Mar 03 11:21:24 2005 => Total Deleted Files: 0
Thu Mar 03 11:21:24 2005 => Total Errors: 2
Thu Mar 03 11:21:24 2005 => Time Elapsed: 00:46:21
Thu Mar 03 11:21:24 2005 => Virus Database Date: 2005/03/01
Thu Mar 03 11:21:24 2005 => Virus Database Count: 119806

Thu Mar 03 11:21:24 2005 => Scan Completed.

Thu Mar 03 11:26:45 2005 => Virus Database Date: 2005/03/01
Thu Mar 03 11:26:45 2005 => Virus Database Count: 119806
Thu Mar 03 11:26:50 2005 => AV Library Unloaded (3)...


Dann hab ich noch im abgesicherten Modus Hijackthis gemacht:
Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 11:54:39, on 03.03.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HIJACK\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T
O4 - HKLM\..\Run: [D-Link Air USB Utility] C:\PROGRAMME\D-LINK\AIR USB UTILITY\AIRCFG.EXE
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [EPSON Stylus C62 Series] C:\WINDOWS\SYSTEM\E_S10IC2.EXE /P23 "EPSON Stylus C62 Series" /O5 "LPT1:" /M "Stylus C62"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\REALMON.EXE -s
O4 - HKLM\..\Run: [MediaFace Integration] C:\Programme\Fellowes\MediaFACE 4.0\SetHook.exe
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient
O4 - HKLM\..\RunServices: [SAgent2ExePath] C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [InoTask] C:\Programme\CA\eTrust Antivirus\InoTask.exe
O4 - HKLM\..\RunServices: [InoRT] C:\Programme\CA\eTrust Antivirus\InoRT9x.exe
O4 - HKLM\..\RunServices: [InoRPC] C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKCU\..\Run: [Reminder] C:\Programme\Microsoft Money\System\reminder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

Kann mir bitte jemand da drüberschauen und sagen, ob ich wirklich clean bin?

Merci
Gruß nullpeiler
Dieser Beitrag wurde am 03.03.2005 um 12:04 Uhr von nullpeiler editiert.
Seitenanfang Seitenende
03.03.2005, 12:55
Member

Beiträge: 1132
#2 Hallo nullpeiler,

da sind wir ja wieder!

C:\RECYCLED\... ist der Papierkorb. Leere den Papierkorb, dann müsste eTrust Ruhe geben.

Was eScan gefunden hat ist harmlos!

Der HJT Log sieht sauber aus. Diesen Eintrag kennst Du bzw. kannst ihn zuordnen?
O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient

Hast Du eTrust auf diesem Rechner? Wenn ja, dann scheint der Echtzeitschutz deaktiviert (kein Virenscanner im Log zu sehen)
edit: ist ja klar! Du hast ja im abgesicherten Modus gescannt. Hatte ich vergessen

Erstelle nochmal ein HJT Log im Normalmodus und poste es

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch
Dieser Beitrag wurde am 03.03.2005 um 13:03 Uhr von Heron editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: