Bin ich Infiziert?Trojan Assasin? Logfile mit Hijackthis erstellt |
||
---|---|---|
#0
| ||
09.02.2006, 21:05
...neu hier
Beiträge: 6 |
||
|
||
10.02.2006, 01:09
Ehrenmitglied
Beiträge: 29434 |
#2
Neo400
dein Steganos Secure FileSharing 6 hilft dir nichts, wenn du so d.... bist, um Keys zu laden Zitat [I downloaded pirated Software from P2P and now I post my Hijack logöffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten O2 - BHO: (no name) - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file) O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file) O4 - HKLM\..\Run: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\system32\war*hier nicht!*.exe O4 - HKLM\..\RunServices: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe PC neustarten scanne mit panda und kopiere hier den scanreport http://virus-protect.org/onlinescan.html __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
10.02.2006, 17:30
...neu hier
Themenstarter Beiträge: 6 |
#3
Hallo Sabina,
hättest ruhig doof ausschreiben können,vermutlich hast du ja recht. Hier der Scanreport von Panda: Incident Status Location Adware:adware/wupd Not disinfected C:\WINDOWS\SYSTEM32\ide21201.vxd Spyware:Cookie/Falkag Not disinfected C:\Dokumente und Einstellungen\A.Zeuch\Cookies\a.zeuch@as1.falkag[1].txt Adware:Adware/SaveNow Not disinfected C:\Programme\DAEMON Tools\SetupDTSB.exe Adware:Adware/WUpd Not disinfected C:\WINDOWS\system32\expIorer.exe Joke:Joke/Metro Not disinfected D:\e-mail quatsch\U-Bahn-Fahrt.exe |
|
|
||
11.02.2006, 00:33
Ehrenmitglied
Beiträge: 29434 |
#4
KILLBOX - Pocket KillBox http://virus-protect.org/killbox.html Options: Delete on Reboot --> anhaken und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes" reinkopieren: . C:\WINDOWS\SYSTEM32\ide21201.vxd C:\WINDOWS\system32\war*hier nicht!*.exe C:\WINDOWS\system32\expIorer.exe PC neustarten deinstalliere/loesche: C:\Programme\DAEMON Tools -------------------------------------------------------------------------- Oben auf der Seite --> auf Durchsuchen klicken --> Datei aussuchen --> Doppelklick auf die zu prüfende Datei --> klick auf Submit... jetzt abwarten --> kopiere das Ergebnis in das Sicherheitsforum http://www.virustotal.com/flash/index_en.html C:\WINDOWS\system32\OEM_Dir\win_asr.exe __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.02.2006, 16:43
...neu hier
Themenstarter Beiträge: 6 |
#5
Hallo Sabina,
kann diese zwei Dateien nicht finden: C:\WINDOWS\system32\war*hier nicht!*.exe C:\WINDOWS\system32\expIorer.exe Diese Datei ist da: C:\WINDOWS\SYSTEM32\ide21201.vxd Wie gehts jetzt weiter,bin ratlos? MfG Neo |
|
|
||
11.02.2006, 19:53
Ehrenmitglied
Beiträge: 29434 |
#6
du sollst die datei nicht "finden"...sondern so wie sie ist abkopieren und --> in das Fenster der Killbox:
Hast du das gemacht ? scanne mit allen 4 Scannern http://virus-protect.org/multiavtool.html suche die Scanreporte in C:\AV-CLS und kopiere sie hier (nur, falls etwas gefunden wurde) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
11.02.2006, 21:28
...neu hier
Themenstarter Beiträge: 6 |
#7
Hi Sabina,
hab die drei Dateien nacheinander in die Killbox einkopiert,wobei die Datei,nachdem man auf das rote Kreuz klickte und mit nein bestätigte dann auch wieder verschwand.Ich hoffe,das war so richtig. Daemon tools hab ich deinstalliert. Hier noch der Bericht von http://www.virustotal.com/flash/index_en.html a This is a report processed by VirusTotal on 02/11/2006 at 21:26:27 (CET) after scanning the file "win_asr.exe" file. Antivirus Version Update Result AntiVir 6.33.0.81 02.11.2006 no virus found Avast 4.6.695.0 02.10.2006 Win32:Trojan-gen. {Other} AVG 718 02.10.2006 BackDoor.Generic.SZ Avira 6.33.0.81 02.11.2006 no virus found BitDefender 7.2 02.11.2006 Backdoor.Assasin.20.C CAT-QuickHeal 8.00 02.11.2006 no virus found ClamAV devel-20060126 02.09.2006 Trojan.Assasin.20.C-srv DrWeb 4.33 02.11.2006 no virus found eTrust-InoculateIT 23.71.74 02.11.2006 no virus found eTrust-Vet 12.4.2074 02.10.2006 no virus found Ewido 3.5 02.11.2006 Backdoor.Assasin.20.c Fortinet 2.54.0.0 02.11.2006 W32/Assasin_20.AGS!bdr F-Prot 3.16c 02.09.2006 no virus found Ikarus 0.2.59.0 02.10.2006 Backdoor.Win32.Agobot.AAB Kaspersky 4.0.2.24 02.11.2006 Backdoor.Win32.Assasin.20.c McAfee 4694 02.10.2006 BackDoor-AGS.gen NOD32v2 1.1403 02.10.2006 Win32/Assasin.20.C Norman 5.70.10 02.10.2006 W32/Assasin.DC Panda 9.0.0.4 02.11.2006 Suspicious file Sophos 4.02.0 02.11.2006 no virus found Symantec 8.0 02.11.2006 Backdoor.Assasin TheHacker 5.9.4.094 02.10.2006 Backdoor/AGS.gen UNA 1.83 02.09.2006 no virus found VBA32 3.10.5 02.11.2006 Backdoor.Win32.Assasin.20.c Die Multi_AV.exe führe ich jetzt noch aus und poste den Scanreport. MfG Neo |
|
|
||
11.02.2006, 21:33
Ehrenmitglied
Beiträge: 29434 |
#8
Neo400
Oh manne............wollst du nicht besser neuaufsetzen ????? fixe mit HijckThis: O4 - HKLM\..\Run: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe O4 - HKLM\..\RunServices: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe neustarten loeschen: C:\WINDOWS\system32\OEM_Dir\win_asr.exe C:\WINDOWS\system32\OEM_Dir lade und scanne http://www.microsoft.com/security/malwareremove/families.mspx stelle den CleanUp genauso ein, wie hier angegeben: http://virus-protect.org/cleanup.html Deaktiviere den etrust, damit es nicht zum Stillstand vom System kommt: avast! 4 Home Edition (free) http://virus-protect.org/antivirenfree.html laden, nach der Installation neu starten, es wird ein Check durchgefuehrt, beim Hochfahren vom System. Warte ihn ab, dann suche den scanreport und poste ihn __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
14.02.2006, 19:51
...neu hier
Themenstarter Beiträge: 6 |
#9
Hi Sabina,
nach einigen Problemen bin ich wieder da. Also,hab deine Anweisungen soweit alle befolgt,hat auch alles gut geklappt,bis ich den avast! 4Home Edition installiert hab.Nach der Installation hat der avast dann sein scan gemacht und auch abgeschlossen,aber dann ging auf einmal nichts mehr.Mußte den PC neu starten und dann ging gar nichts mehr. Hab dann eine neuinstallation gemacht. Auf jedenfall sollte mein PC jetzt wieder clean sein,oder? MfG Neo |
|
|
||
15.02.2006, 00:09
Ehrenmitglied
Beiträge: 29434 |
#10
wahrscheinlich haben sich etust und avast doch nicht vertragen...man haette den etrust deinstallieren mussen.
er hat den Backdoor nicht erkannt..... Zitat eTrust-InoculateIT 23.71.74 02.11.2006 no virus foundDeshalb habe ich dir den avast empfohlen. Aber wenn du formatiert hast...ist wieder alles in Butter War auch besser so...denn ein Backdoor hat Rootkits usw.... Das System bleibt immer kompromitiert, auch wenn man notduerftig loescht . Nun pass schoen auf...was du in Zukunft laedst , besser noch..lasse die Finger davon, wenn du nicht jede Woche formatieren willst. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
15.02.2006, 19:55
...neu hier
Themenstarter Beiträge: 6 |
#11
Werde mir in Zukunft mehr mühe geben und besser aufpassen was ich lade.Auf jedenfall,recht schönen dank für deine Bemühungen.
Soll ich denn den eTrust abschießen und auf den avast umsteigen,oder kannst du mir eine Emfehlung ,für einen Virenscanner geben? Und verate mir bitte noch "was war das eigentlich" [I downloaded pirated Software from P2P and now I post my Hijack log Gruß Neo |
|
|
||
15.02.2006, 21:22
Ehrenmitglied
Beiträge: 29434 |
#12
du hast irgendeinen Key laden wollen, aber in der Datei war ein Backdoor, versehen mit dem Netten Hinweis... bewusst gemacht fuer die Logs von HijackThis ...sehr peinlich, denke ich.
Bleib bei dem etrust...es ist ein gutes Proggie , nur eben noch nicht auf alle Eseleien vom User trainiert Wenn du ein Programm haben willst+ Key und Support...dann spare und kaufe es ! Die Programmierer haben auch lange dran gesessen, um es zu entwickeln. Und die Virenkiddies freuen sich diebisch ueber jeden...der wieder mal reingefallen ist. __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
Könnt Ihr euch das mal ansehen und mir weiterhelfen.
Vermutlich Trojaner!?
Hab leider nicht so die Ahnung um das auszuwerten.
Vielen Dank
Logfile of HijackThis v1.99.1
Scan saved at 20:48:57, on 08.02.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\FRITZ!DSL\IGDCTRL.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
C:\Programme\CA\eTrust Antivirus\InoRpc.exe
C:\Programme\CA\eTrust Antivirus\InoRT.exe
C:\Programme\CA\eTrust Antivirus\InoTask.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\SLEE503.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\PROGRA~1\CA\ETRUST~1\realmon.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Steganos Secure FileSharing 6\sfs.exe
C:\Programme\UnHackMe\hackmon.exe
C:\Programme\IVT Corporation\BlueSoleil\BlueSoleil.exe
C:\Programme\FRITZ!DSL\StCenter.exe
C:\Programme\FRITZ!DSL\FwebProt.exe
C:\Programme\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Download\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freenet.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - (no file)
O2 - BHO: (no name) - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Keyboard Status] C:\PROGRA~1\Medion\KeyStat\KeyStat.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] "C:\Programme\Home Cinema\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s
O4 - HKLM\..\Run: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log] C:\WINDOWS\system32\war*hier nicht!*.exe
O4 - HKLM\..\RunServices: [cc_app] C:\WINDOWS\system32\OEM_Dir\win_asr.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SFS6] "C:\Programme\Steganos Secure FileSharing 6\sfs.exe" /booting
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [UnHackMe Monitor] C:\Programme\UnHackMe\hackmon.exe
O4 - Startup: FRITZ!DSL Protect.lnk = C:\Programme\FRITZ!DSL\FwebProt.exe
O4 - Global Startup: BlueSoleil.lnk = ?
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = C:\Programme\FRITZ!DSL\StCenter.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O10 - Unknown file in Winsock LSP: c:\programme\fritz!dsl\sarah.dll
O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1106843944468
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - C:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programme\Home Cinema\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programme\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe
O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe
O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe
O23 - Service: Steganos Live Encryption Engine (Version 503) [Service] (SLEE_503_SERVICE) - Unknown owner - C:\WINDOWS\system32\SLEE503.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe