Win32:Trojan-gen. {Other}

#16 Hi Sabina,

Kaspersky hat nix gefunden, nundenn...

Danke!

Hank4

#17 ich denke mal kühn, dass avast das Problem schon gelöst hatte
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#18 Wollen wirs hoffen, sorry für die Verwechselung, Pinguin!

#19 wieso Verwechslung Sabina mag Pinguin sehr...sie sind eeeeeng befreundet
wenn es noch Probleme gibt, melde dich, dann graben wir weiter....
http://board.protecus.de/t32381.htm
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#20 Ich danke für Dein freundliches Angebot!

Tatsächlich bringt Avast kurz nach dem Hochfahren sowie gelegentlich auch später noch die meldung zu Trojan-gen. {other}.

Muß ich den Kaspersky Scan mit aktiviertem Avast machen? Ich hatte es zuletzt ausgeschaltet beim Scan...

Gruß Hank4

#21 deaktiviere den avast zwischenzeitlich, somit lauft der kaspersky schneller durch..
und poste mir bitte mal, wo avast den Trojaner findet ..
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#22 Hallo Pinguin!

Eben kam wieder mal die Avast-Warnung:
C:\WINDOWS\SoftwareDistribution\Download\649f11bac0638e470b92899236ece22c\sp2gdr\user32.dll

davor waren es folgende Dateien seit 14.1. nach unten hin aktueller werdend:

TRZ49.TMP / C:Windows System32 usw.
UNP123746098.TMP / Windows TEMP....
UNP68400635.TMP / Windows TEMP....
user32.dll / x-mal obige SoftwareDistribution usw. -meldung
(kann Container-Daten leider nicht kopieren, nur manuell hier einstellen )

Avast ordnet allen obigen Meldungen die Transferzeit (in den Container) zu, wie gesagt ab14.1.08, interessant vielleicht noch:
Allen Daten wird als zeitpunkt für "Letzte Änderung" der 8.3.07 zugewiesen, und am 7.3.07, also einen Tag vorher, schob ich eine (C System Volume Information restore {...} ) .rbf-Datei in den Container, nachdem die Meldung zu einem Trojaner windows 32 lineage 518 kam, ich hatte es seinerzeit Sabina gepostet, wir fanden damals nichts weiter. Vielleicht ist das Pferd mutiert?

Gruß Hank4

#23 Hallo,

hab hier was gefunden:
http://www.heise.de/newsticker/meldung/101723

das hilft bestimmt weiter

Gruss von Pinguin alá Sabina
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#24 Oh Mann Pinguinsabina!

Du bringst endlich Licht ins Dunkel: ich mußte nach der ersten Quarantäne Mitte Januar den PC wegbringen, weil er nicht mehr hochfuhr und die BetriebsCD zum Einsetzen der Originaldateien nicht akzeptiert wurde!

Gruß und EIN DICKES MERCI!

Hochachtungsvoll

Hank4

#25 Hi Pinguin,

hast Du noch einen Tip, wie sich Kaspersky lab wieder deinstallieren läßt?
Wenn ich den unins.exe wähle, heißt es Error 5, Zugriff nicht möglich o.ä.

Ich hoffe nicht, daß sich das Ding mit Avast in die Quere gekommen ist, man soll ja keine 2 Virenscanner haben, ich hielt Kaspersky eher für ein Spezialtool.
Vielleicht liegts auch daran, daß nun die windows updates nicht mehr fruchten...

Gruß

Hank4

#26

Zitat

windows updates nicht mehr fruchten...

das verstehe ich nicht.. kannst du keine Updates laden ???

Der kaspersky (Spezialtool) schadet nicht, ich bekomme es auch nicht deinstalliert, hab es schon versucht....
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#27 Die updates lassen sich nicht installieren, kommt immer Meldung von wegen "Installation fehlgeschlagen". Evtl. liegts auch an der Reparaturinstallation durch den Laden, wovon ich oben berichtete, nachdem avast eine wichtige datei isolierte.

Kommt der Kaspersky denn der bei mir installierten avast-software in die Quere?

Gruß Hank4

#28 ««

du hast kein SP2 geladen ... ist deine XP-Version original ???? (kannst mir per PN antworten...)

scrolle nach unten:
http://www.rz.uni-kiel.de/pc/sus/index.html

"AUBehave.vbs" - laden

* Einstellungen rund um Automtische Updates prüfen mittels vbs-Datei
Die Prüfung der Einstellungen rund um den "Automatische Updates" Dienst sind mittels einer Visual Basic Script (.vbs) Datei möglich. Laden Sie die entsprechende Datei "AUBehave.vbs" herunter und rufen Sie diese auf. Folgen Sie den Anweisungen.

berichte....

---

der kaspersky kommt anderen Scanern nicht ins Gehege.. kein Problem, es ist ja nicht die Vollversion...
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#29 hank

danke für die PN.
versuche es mal damit:
http://www.virus-protect.org/artikel/tools/dial_a_fix.html

+
poste das log vom HijackThis
http://www.virus-protect.org/hjtkurz.html
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/

#30 Hallo Pinguin!

UNGLAUBLICH!
Mit dem Dail-a-fix klappten die Updates wieder.
Avast meldete dabei wieder den Trj-gen., wahrscheinlich lags an dem Avast-Theater.
Vielleicht packt Dich noch der Ehrgeiz, doch das Kaspersky lab zu deinstallieren, es ist etwas lästig jedesmal das Fenster beim Start, auch läßt es sich m.E. nicht aktualisieren.

Es wird wirklich Zeit für eine Überweisung, bitte um Bankverbindung.

Hank4

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:22:06, on 30.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0013)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\brss01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\VTTimer.exe
C:\WINDOWS\system32\VTtrayp.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\vorname\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [VTTrayp] VTtrayp.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [SetDefPrt] C:\Programme\Brother\Brmfl05a\BrStDvPt.exe
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVP] "C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_22.01.2008_17-54.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Status Monitor.lnk = C:\Programme\Brother\Brmfcmon\BrMfcWnd.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1188463802609
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: setup_7.0.0.180_22.01.2008_17-54 - Kaspersky Lab - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_22.01.2008_17-54.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6201 bytes