Trojaner.Downloader nach Installation von pplive |
||
---|---|---|
#0
| ||
12.04.2007, 00:14
...neu hier
Beiträge: 2 |
||
|
||
12.04.2007, 11:58
Ehrenmitglied
Beiträge: 29434 |
#2
koffel
ich kann in den logs nicht nichts weiter erkennen - und gescannt hast du ja inzwischen schon (siehe kaspersky, ewido...) __________ MfG Sabina rund um die PC-Sicherheit |
|
|
||
12.04.2007, 12:37
...neu hier
Themenstarter Beiträge: 2 |
#3
na dann ists ja gut. dankeschön!
|
|
|
Nachdem PPlive nach der Installation ein IE-Fenster geöffnet hatte, meldete AVG einen "Trojaner.Downloader" in einer Datei namens "klick[1].html". Weil ich das Dingen schnellstmöglich gelöscht hab, hab ich leider nicht mehr den genauen Namen :-(
Einige Minuten später fing die Internetverbindung an zu lahmen. Weil netstat -ab bei geschlossenem Browser trotzdem einige offene Verbindungen anzeigte, hab ich im Taskmanager einige Prozesse beendet. Danach veränderte sich die Taskleiste selbständig in der Größe, und einige Fenster bewegten sich. Das war der Moment, in dem ich das Netzwerkkabel gezogen habe...
Ich hab dann alles nochmal mit AVG gescannt, schien auch sauber, aber ich trau der ganzen Sache nicht.
Wäre sehr nett, wenn sich das mal jemand ansehen könnte:
1)
Logfile of HijackThis v1.99.1
Scan saved at 23:04:34, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
C:\Programme\ewido anti-spyware 4.0\guard.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\TortoiseSVN\bin\TSVNCache.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\Java\jre1.6.0_01\bin\jusched.exe
C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
C:\Programme\ZyAIR USB Utility\ZyAIR.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgwb.dat
C:\Dokumente und Einstellungen\Konradl\Desktop\cleanup\hijackthis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [VOBID] C:\Programme\Pinnacle\InstantCDDVD\InstantDrive\InstantDrive.exe /remount
O4 - HKLM\..\Run: [IW ControlCenter] C:\Programme\Pinnacle\InstantCDDVD\InstantWrite\iwctrl.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Programme\SpeedswitchXP\SpeedswitchXP.exe
O4 - Global Startup: Cisco Systems VPN Client.lnk = C:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Taskmanager.lnk = C:\WINDOWS\system32\taskmgr.exe
O4 - Global Startup: ZyAIR USB Utility.lnk = C:\Programme\ZyAIR USB Utility\ZyAIR.exe
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Webseiten mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlpage.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/english/kavwebscan_unicode.cab
O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Housecall ActiveX 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: SearchList = vpn.uni-freiburg.de
O17 - HKLM\System\CS5\Services\Tcpip\..\{12678F9D-CC52-4045-8401-7A4677619C83}: NameServer = 10.1.1.12
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Programme\Cisco Systems\VPN Client\cvpnd.exe
O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - C:\Programme\ewido anti-spyware 4.0\guard.exe
O23 - Service: FileZilla Server FTP server (FileZilla Server) - FileZilla Project - C:\Programme\FileZilla Server\FileZilla Server.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MySQL - Unknown owner - C:\Programme\MySQL\MySQL.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: VMware Authorization Service (VMAuthdService) - VMware, Inc. - E:\shared using\ExtraProgramme_C\VMwarePlayer\vmware-authd.exe
O23 - Service: VMware DHCP Service (VMnetDHCP) - VMware, Inc. - C:\WINDOWS\system32\vmnetdhcp.exe
O23 - Service: VMware Virtual Mount Manager Extended (vmount2) - VMware, Inc. - C:\Programme\Gemeinsame Dateien\VMware\VMware Virtual Image Editing\vmount2.exe
O23 - Service: VMware NAT Service - VMware, Inc. - C:\WINDOWS\system32\vmnat.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
2)
Cleanup hab ich gemäß der Anleitung laufen lassen.
3)
ComboFix hatte ein Problem...hier die Fehlermeldung:
AppName: combofix.exe AppVer: 0.0.0.0 ModName: kernel32.dll
ModVer: 5.1.2600.2945 Offset: 00012a5b
4)
und noch das Ergebnis von Datfindbat:
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F3-9287
Verzeichnis von c:\
11.04.2007 23:25 0 dirdat.txt
11.04.2007 23:19 536.399.872 hiberfil.sys
11.04.2007 23:19 805.306.368 pagefile.sys
05.03.2007 03:17 1.062 README
24.12.2006 18:26 341 hpfr3420.log
24 Datei(en) 1.361.364.377 Bytes
0 Verzeichnis(se), 2.558.263.296 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F3-9287
Verzeichnis von C:\WINDOWS\system32
11.04.2007 23:20 54.112 vsconfig.xml
11.04.2007 19:20 2.422 wpa.dbl
11.04.2007 13:14 57 peer.ini
10.04.2007 03:24 4.254 jupdate-1.6.0_01-b06.log
03.04.2007 21:28 131.856 FNTCACHE.DAT
30.03.2007 15:00 395.314 perfh009.dat
30.03.2007 15:00 60.140 perfc009.dat
30.03.2007 15:00 408.376 perfh007.dat
30.03.2007 15:00 72.186 perfc007.dat
30.03.2007 15:00 941.040 PerfStringBackup.INI
17.03.2007 15:44 293.376 winsrv.dll
14.03.2007 02:04 69.632 javacpl.cpl
14.03.2007 02:04 139.264 javaws.exe
14.03.2007 00:31 135.168 javaw.exe
14.03.2007 00:31 135.168 java.exe
09.03.2007 13:51 270.336 xpsp3res.dll
08.03.2007 17:36 281.600 gdi32.dll
08.03.2007 17:36 40.960 mf3216.dll
08.03.2007 17:36 579.072 user32.dll
08.03.2007 17:32 1.843.712 win32k.sys
07.03.2007 22:36 12.619.736 MRT.exe
28.02.2007 18:02 2.182.656 ntoskrnl.exe
28.02.2007 18:02 2.059.904 ntkrnlpa.exe
17.02.2007 04:02 122.142 TZLog.log
15.02.2007 10:46 294.912 pscp.exe
05.02.2007 22:18 185.856 upnphost.dll
29.01.2007 10:58 60.416 tzchange.exe
27.01.2007 17:25 8.233 lvcoinst.log
23.01.2007 21:30 546.304 hhctrl.ocx
23.01.2007 01:45 98.304 CmdLineExt.dll
23.01.2007 01:39 34 BD2030.DAT
16.01.2007 19:50 20.172 mlfcache.dat
12.01.2007 10:27 458.752 msfeeds.dll
12.01.2007 10:27 51.712 msfeedsbs.dll
12.01.2007 10:27 3.580.416 mshtml.dll
12.01.2007 10:27 232.960 webcheck.dll
12.01.2007 10:27 132.608 extmgr.dll
12.01.2007 10:27 6.054.400 ieframe.dll
12.01.2007 10:27 670.720 mstime.dll
12.01.2007 10:27 477.696 mshtmled.dll
12.01.2007 10:27 822.784 wininet.dll
12.01.2007 10:27 1.149.952 urlmon.dll
12.01.2007 10:27 27.136 jsproxy.dll
10.01.2007 18:42 1.040.384 ieframe.dll.mui
08.01.2007 20:04 105.984 url.dll
08.01.2007 20:04 102.400 occache.dll
08.01.2007 20:03 193.024 msrating.dll
08.01.2007 20:02 1.823.744 inetcpl.cpl
08.01.2007 20:02 44.544 iernonce.dll
08.01.2007 20:02 266.752 iertutil.dll
08.01.2007 20:02 383.488 ieapfltr.dll
08.01.2007 20:02 153.088 ieakeng.dll
08.01.2007 20:02 230.400 ieaksie.dll
08.01.2007 20:02 161.792 ieakui.dll
08.01.2007 20:02 384.000 iedkcs32.dll
08.01.2007 20:01 17.408 corpol.dll
08.01.2007 20:00 124.928 advpack.dll
08.01.2007 19:08 56.832 ie4uinit.exe
08.01.2007 19:08 13.824 ieudinit.exe
08.01.2007 18:26 9.132 jupdate-1.5.0_10-b03.log
19.12.2006 23:49 135.168 shsvcs.dll
19.12.2006 23:49 8.494.592 shell32.dll
19.12.2006 20:17 334.336 wiaservc.dll
13.12.2006 23:54 3.580 d3d9caps.dat
07.12.2006 07:29 2.374.472 wmvcore.dll
06.12.2006 17:04 20.480 H@tKeysH@@k.DLL
27.11.2006 16:54 539.136 msftedit.dll
27.11.2006 16:54 433.152 riched20.dll
17.11.2006 19:53 12.288 advpack.dll.mui
2092 Datei(en) 419.268.317 Bytes
0 Verzeichnis(se), 2.558.136.320 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F3-9287
Verzeichnis von C:\WINDOWS
11.04.2007 23:22 345 wiadebug.log
11.04.2007 23:20 2.039.543 WindowsUpdate.log
11.04.2007 23:20 50 wiaservc.log
11.04.2007 23:19 0 0.log
11.04.2007 23:19 2.048 bootstat.dat
11.04.2007 23:18 32.556 SchedLgU.Txt
11.04.2007 21:24 307.565 setupapi.log
11.04.2007 18:42 53.364 ntdtcsetup.log
11.04.2007 18:42 42.809 iis6.log
11.04.2007 18:42 87.909 comsetup.log
11.04.2007 18:42 101.437 tsoc.log
11.04.2007 18:42 1.374 imsins.log
11.04.2007 18:42 14.706 ocmsn.log
11.04.2007 18:42 17.787 KB931784.log
11.04.2007 18:42 125.388 ocgen.log
11.04.2007 18:42 13.029 msgsocm.log
11.04.2007 18:42 265.859 FaxSetup.log
11.04.2007 18:41 1.374 imsins.BAK
11.04.2007 18:41 16.137 KB931261.log
11.04.2007 18:41 50.917 updspapi.log
11.04.2007 18:41 15.615 KB930178.log
11.04.2007 18:41 19.943 KB932168.log
11.04.2007 18:36 54.156 QTFont.qfn
10.04.2007 21:54 432 BRWMARK.INI
05.04.2007 23:19 2.002 wincmd.ini
04.04.2007 22:56 1.142 win.ini
03.04.2007 20:53 15.020 KB925902.log
02.04.2007 23:43 231 system.ini
26.03.2007 03:11 587 XWIN32.INI
25.03.2007 00:28 169 RtlRack.ini
20.03.2007 20:47 1.386 setupact.log
14.03.2007 23:35 14.640 KB929338.log
07.03.2007 00:06 25.911 scunin.dat
07.03.2007 00:06 70.656 ScUnin.exe
07.03.2007 00:06 967 ScUnin.pif
06.03.2007 02:25 70.347 wmsetup.log
05.03.2007 03:37 1.409 QTFont.for
17.02.2007 21:57 57 sierra.ini
17.02.2007 04:03 21.506 KB927779.log
17.02.2007 04:02 18.517 KB927802.log
17.02.2007 04:02 18.247 KB928255.log
17.02.2007 04:02 14.713 KB924667.log
17.02.2007 04:02 27.142 KB931836.log
17.02.2007 04:02 16.651 KB926436.log
17.02.2007 04:02 10.303 KB928090-IE7.log
17.02.2007 04:01 13.300 KB918118.log
17.02.2007 04:00 13.157 KB928843.log
16.02.2007 18:46 1.090.630 setupapi.log.1.old
21.01.2007 21:04 12.926 ModemLog_Smart Link 56K Modem.txt
17.01.2007 16:35 316.640 WMSysPr9.prx
11.01.2007 16:46 3.610 KB929969.log
25.12.2006 13:13 121 GEARInstall.log
170 Datei(en) 13.001.334 Bytes
0 Verzeichnis(se), 2.558.144.512 Bytes frei
Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: C8F3-9287
Verzeichnis von C:\DOKUME~1\Konradl\LOKALE~1\Temp
11.04.2007 23:22 16.384 ~DFF85C.tmp
11.04.2007 23:21 16.384 ~DF249B.tmp
2 Datei(en) 32.768 Bytes
0 Verzeichnis(se), 2.558.152.704 Bytes frei
Im Vorraus schoma vielsten Dank fürs Helfen!
Konrad