TR/Spy.Agent.42496 - Trojaner eingefangen mit Bitte um Hilfe |
||
---|---|---|
#0
| ||
30.10.2007, 16:24
...neu hier
Beiträge: 4 |
||
|
||
30.10.2007, 17:12
Member
Beiträge: 694 |
#2
Hi,
voll erwischt! C:\WINDOWS\system32\ntos.exe und C:\WINDOWS\system32\wsnpoem... Schon mal ans neu aufsetzten denken.... Avenger: Avenger http://virus-protect.org/artikel/tools/avenger.html Input script manually (anhaken) kopiere in: View/edit script Zitat Klicke die gruene Ampel das Script wird nun ausgeführt, dann wird der PC automatisch neustarten Hijackthis, fixen: öffne das HijackThis -- Button "scan" -- vor diese Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten Beim fixen müssen alle Programme geschlossen sein! Zitat
SDFIX: Download SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) zum Desktop Starte im abgesicherten Modus: http://www.bsi.bund.de/av/texte/wiederher.htm SDFix.zip entpacken unter C:\ findet man nun den SDFix-Ordner Doppelklicke die RunThis.bat Schreibe: Y, folge allen Anweisungen Dann wird der Rechner neustarten SDFix entfernt jetzt die gefundene Objekte Kopiere den Inhalt des Berichts “SophosReport.txt” der jetzt auf dein Desktop steht in diesen Thread Chris |
|
|
||
30.10.2007, 18:10
...neu hier
Themenstarter Beiträge: 4 |
#3
Hallo Chris,
vielen Dank für deine schnelle Antwort. Bin genau nach deinen Anweisungen vorgegangen. Habe jetzt nochmal AntiVir Personal Edition Classic drüber laufen lassen. Hier der Report: AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 30. Oktober 2007 17:28 Es wird nach 910788 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: NZOO Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 14:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 14:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:15 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 13:26:55 ANTIVIR2.VDF : 7.0.0.140 940544 Bytes 26.10.2007 15:55:17 ANTIVIR3.VDF : 7.0.0.155 93696 Bytes 30.10.2007 15:53:20 AVEWIN32.DLL : 7.6.0.30 3056128 Bytes 27.10.2007 15:55:17 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 07:46:00 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 11:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 11:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: H:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Intelligente Dateiauswahl Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: 20 Archiv Smart Extensions..........: ein Makrovirenheuristik..............: ein Dateiheuristik...................: mittel Beginn des Suchlaufs: Dienstag, 30. Oktober 2007 17:28 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acrobat_sl.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VersionCueCS2Tray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'wmiprvse.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'userinit.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mysqld-nt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VersionCueCS2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '38' Prozesse mit '38' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'F:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'H:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '38' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\dtscsi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd8445.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'E:\' Beginne mit der Suche in 'F:\' Beginne mit der Suche in 'H:\' Der zu durchsuchende Pfad H:\ konnte nicht geöffnet werden! Auf dem Datenträger befindet sich kein erkanntes Dateisystem. Stellen Sie sicher, dass alle benötigten Dateisystemtreiber geladen sind und dass der Datenträger nicht beschädigt ist. Ende des Suchlaufs: Dienstag, 30. Oktober 2007 18:00 Benötigte Zeit: 31:34 min Der Suchlauf wurde vollständig durchgeführt. 9832 Verzeichnisse wurden überprüft 428174 Dateien wurden geprüft 0 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 0 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 428174 Dateien ohne Befall 1090 Archive wurden durchsucht 4 Warnungen 0 Hinweise ***************************************************************** Würdest Du mir nun trotzdem noch empfehlen WINDOWS neu aufzusetzten? |
|
|
||
31.10.2007, 07:32
Member
Beiträge: 694 |
#4
Hi,
hast SDFix laufen lassen (Report)? Bitte Antivir wie folgt einstellen und noch mal laufen lassen: http://board.protecus.de/t23979.htm Abschließend noch ein Scan mit Dr. WEb: http://board.protecus.de/t29350.htm Poste beide Reports und ein neues HJ-Log.... chris PS.: Wenn dann nichts mehr kommt kannst Du das so lassen. Man weiss allerdings nie was die Trojaner etc. so gedreht haben (Ports offen etc.).... Auf jeden Fall alle Passwörter mal ändern etc. |
|
|
||
06.11.2007, 09:44
...neu hier
Themenstarter Beiträge: 4 |
#5
Hier mal der Report mit Antivir und den entsprechenden Einstellungen:
AntiVir PersonalEdition Classic Erstellungsdatum der Reportdatei: Dienstag, 6. November 2007 09:06 Es wird nach 916490 Virenstämmen gesucht. Lizenznehmer: Avira AntiVir PersonalEdition Classic Seriennummer: 0000149996-ADJIE-0001 Plattform: Windows XP Windowsversion: (Service Pack 2) [5.1.2600] Benutzername: SYSTEM Computername: NZOO Versionsinformationen: BUILD.DAT : 270 15603 Bytes 19.09.2007 13:29:00 AVSCAN.EXE : 7.0.6.1 290856 Bytes 23.08.2007 12:16:24 AVSCAN.DLL : 7.0.6.0 57384 Bytes 14.08.2007 14:48:28 LUKE.DLL : 7.0.5.3 147496 Bytes 14.08.2007 14:32:43 LUKERES.DLL : 7.0.6.0 10792 Bytes 14.08.2007 14:49:04 ANTIVIR0.VDF : 6.40.0.0 11030528 Bytes 18.07.2007 13:27:15 ANTIVIR1.VDF : 7.0.0.0 1640448 Bytes 13.09.2007 13:26:55 ANTIVIR2.VDF : 7.0.0.172 1092608 Bytes 05.11.2007 15:53:54 ANTIVIR3.VDF : 7.0.0.173 2048 Bytes 05.11.2007 15:53:54 AVEWIN32.DLL : 7.6.0.30 3056128 Bytes 27.10.2007 15:55:17 AVWINLL.DLL : 1.0.0.7 14376 Bytes 26.02.2007 09:36:23 AVPREF.DLL : 7.0.2.2 25640 Bytes 18.07.2007 06:16:50 AVREP.DLL : 7.0.0.1 155688 Bytes 16.04.2007 12:16:24 AVPACK32.DLL : 7.3.0.15 360488 Bytes 03.08.2007 07:46:00 AVREG.DLL : 7.0.1.6 30760 Bytes 18.07.2007 06:17:02 AVARKT.DLL : 1.0.0.20 278568 Bytes 28.08.2007 11:26:28 AVEVTLOG.DLL : 7.0.0.20 86056 Bytes 18.07.2007 06:10:14 NETNT.DLL : 7.0.0.0 7720 Bytes 08.03.2007 10:09:03 RCIMAGE.DLL : 7.0.1.30 2342952 Bytes 07.08.2007 11:37:51 RCTEXT.DLL : 7.0.62.0 90152 Bytes 21.08.2007 11:50:28 SQLITE3.DLL : 3.3.17.1 339968 Bytes 23.07.2007 08:37:21 Konfiguration für den aktuellen Suchlauf: Job Name.........................: Vollständige Systemprüfung Konfigurationsdatei..............: c:\programme\avira\antivir personaledition classic\sysscan.avp Protokollierung..................: niedrig Primäre Aktion...................: interaktiv Sekundäre Aktion.................: ignorieren Durchsuche Masterbootsektoren....: aus Durchsuche Bootsektoren..........: ein Bootsektoren.....................: F:, Durchsuche Speicher..............: ein Durchsuche aktive Programme......: ein Durchsuche Registrierung.........: ein Suche nach Rootkits..............: aus Datei Suchmodus..................: Alle Dateien Durchsuche Archive...............: ein Rekursionstiefe einschränken.....: aus Archiv Smart Extensions..........: ein Abweichende Archivtypen..........: +BSD Mailbox, +Netscape/Mozilla Mailbox, +Eudora Mailbox, +Squid cache, +Pegasus Mailbox, +MS Outlook Mailbox, Makrovirenheuristik..............: ein Dateiheuristik...................: hoch Abweichende Gefahrenkategorien...: +APPL,+GAME,+JOKE,+PCK,+SPR, Beginn des Suchlaufs: Dienstag, 6. November 2007 09:06 Der Suchlauf über gestartete Prozesse wird begonnen: Durchsuche Prozess 'avscan.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avcenter.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iexplore.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winword.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'outlook.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iPodService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'EM_EXEC.EXE' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'GoogleToolbarNotifier.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'ctfmon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avgnt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'iTunesHelper.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'jusched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'acrotray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VersionCueCS2Tray.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'daemon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'SMax4.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smax4pnp.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'explorer.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'alg.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mysqld-nt.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'nvsvc32.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'mdm.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'AppleMobileDeviceService.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'sched.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'VersionCueCS2.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'avguard.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'spoolsv.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'svchost.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'lsass.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'services.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'winlogon.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'csrss.exe' - '1' Modul(e) wurden durchsucht Durchsuche Prozess 'smss.exe' - '1' Modul(e) wurden durchsucht Es wurden '38' Prozesse mit '38' Modulen durchsucht Der Suchlauf über die Bootsektoren wird begonnen: Bootsektor 'C:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'E:\' [HINWEIS] Es wurde kein Virus gefunden! Bootsektor 'F:\' [HINWEIS] Es wurde kein Virus gefunden! Der Suchlauf auf Verweise zu ausführbaren Dateien (Registry) wird begonnen. Die Registry wurde durchsucht ( '38' Dateien ). Der Suchlauf über die ausgewählten Dateien wird begonnen: Beginne mit der Suche in 'C:\' C:\pagefile.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\Dokumente und Einstellungen\Enzo\Desktop\ComboFix.exe [0] Archivtyp: RAR SFX (self extracting) --> nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 --> nircmd.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '479d2134.qua' verschoben! C:\Dokumente und Einstellungen\Enzo\Desktop\avenger\avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47952141.qua' verschoben! C:\RECYCLER\S-1-5-21-1606980848-854245398-1801674531-1003\Dc3.zip [0] Archivtyp: ZIP --> avenger.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '476324b6.qua' verschoben! C:\System Volume Information\_restore{6CDBAB74-7E81-4A8C-82AD-D859B156C1AE}\RP265\A0033146.exe [0] Archivtyp: RAR SFX (self extracting) --> nircmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 --> nircmd.cfexe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '4760248f.qua' verschoben! C:\System Volume Information\_restore{6CDBAB74-7E81-4A8C-82AD-D859B156C1AE}\RP265\A0033147.exe [FUND] Enthält Erkennungsmuster des SPR/Avenger-Programmes [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47602492.qua' verschoben! C:\WINDOWS\NirCmd.exe [FUND] Enthält Erkennungsmuster der Anwendung APPL/NirCmd.1 [INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '47a224d6.qua' verschoben! C:\WINDOWS\system32\drivers\dtscsi.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! C:\WINDOWS\system32\drivers\sptd8445.sys [WARNUNG] Die Datei konnte nicht geöffnet werden! Beginne mit der Suche in 'E:\' Beginne mit der Suche in 'F:\' Ende des Suchlaufs: Dienstag, 6. November 2007 09:42 Benötigte Zeit: 35:47 min Der Suchlauf wurde vollständig durchgeführt. 9863 Verzeichnisse wurden überprüft 431450 Dateien wurden geprüft 8 Viren bzw. unerwünschte Programme wurden gefunden 0 Dateien wurden als verdächtig eingestuft 0 Dateien wurden gelöscht 0 Viren bzw. unerwünschte Programme wurden repariert 6 Dateien wurden in die Quarantäne verschoben 0 Dateien wurden umbenannt 4 Dateien konnten nicht durchsucht werden 431442 Dateien ohne Befall 1094 Archive wurden durchsucht 4 Warnungen 0 Hinweise |
|
|
||
07.11.2007, 07:24
Member
Beiträge: 694 |
#6
Hi,
die gefunden Dateien gehören zu Avenger... Das andere sollten Kopierschutztreiber von Spielen sein... Chris |
|
|
||
07.11.2007, 16:58
...neu hier
Themenstarter Beiträge: 4 |
#7
Vielen vielen Dank für die schnelle, kompetente Hilfe.
Ich werde zur Sicherheit in den nächsten Tagen Windows nochmal neu aufspielen. Greetings. Zoo |
|
|
||
19.11.2007, 17:42
Member
Beiträge: 56 |
#8
Hallo,
bin mir jetzt unsicher ob ich hier poste oder einen neuen Thread eröffnen sollte!? Mein AntiVir hat beim Anklicken eines Buttons Trojaner Alarm geschlagen und ich habe dies in die Qarantäne verschoben. Das Ganze habe ich 3 x von einer Seite die ich eigentlich gut kenne. TR/Spy.Agent.42496 (Quelle: C:\......Temporary Internet Files\Content....) Ein Virenscan hat auf dem PC nichts gefunden. Ist das Ganze damit erledigt und ich brauch diese Dateien nur zu löschen? Mein Problem ist, daß ich von dem Ganzen Scans was ihr so macht keine Ahnung habe...*m* Viele Grüße Christin |
|
|
||
19.11.2007, 17:50
Ehrenmitglied
Beiträge: 6028 |
||
|
||
19.11.2007, 18:44
Member
Beiträge: 56 |
#10
Hallo Arnold,
das ,mit dem ATF Cleaner reicht? Habe diese Seite nochmal probiert, einmal mit gleichem Problem und 10 mal problemlos. Das ist eine Vereinsseite, dabin ich jeden Tag drauf und hatte noch nie Probleme. Kann das auch mit dem msn live massanger zu tun haben? Sollte ich vielleicht noch einige Passwörter vorsichtshalber ändern (zumindest die ich heut benutzt habe? Viele Grüße christin |
|
|
||
19.11.2007, 18:49
Ehrenmitglied
Beiträge: 6028 |
||
|
||
ich habe mir einen Trojaner eingefangen: TR/Spy.Agent.42496
Kann mir evtl. jmd weiterhelfen wie ich diesen Wurm wieder loswerde.
Nachstehend das Logfile welches mir Combofix geliefert hat:
ComboFix 07-10-29.1** - Enzo 2007-10-30 16:01:00.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1540 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Enzo\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt
.
(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.
C:\WINDOWS\system32\nvrssk.dll
C:\WINDOWS\system32\nvrssl.dll
.
((((((((((((((((((((((( Dateien erstellt von 2007-09-28 bis 2007-10-30 ))))))))))))))))))))))))))))))
.
2007-10-30 15:59 51,200 --a------ C:\WINDOWS\NirCmd.exe
2007-10-26 16:52 <DIR> d-------- C:\Programme\Avira
2007-10-26 16:52 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira
2007-10-17 18:33 <DIR> d-------- C:\Programme\ScratchTools
2007-10-17 16:23 <DIR> d-------- C:\Programme\Sony Setup
2007-10-16 17:16 <DIR> d-------- C:\Driver
2007-10-16 17:16 25 --a------ C:\WINDOWS\syslife.dat
2007-10-16 17:15 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Ulead Systems
2007-10-15 21:49 <DIR> d-------- C:\Programme\iTunes
2007-10-15 21:49 <DIR> d-------- C:\Programme\iPod
2007-10-15 21:49 <DIR> d-------- C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\Apple Computer
2007-10-15 21:48 <DIR> d-------- C:\Programme\Apple Software Update
2007-10-15 21:47 <DIR> d----c--- C:\WINDOWS\system32\DRVSTORE
2007-10-15 21:47 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Apple
2007-10-15 21:47 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple
2007-10-03 13:24 <DIR> d--hs---- C:\WINDOWS\system32\wsnpoem
2007-09-16 20:01 <DIR> d-------- C:\Programme\emagic
2007-09-16 20:01 258,048 --a------ C:\WINDOWS\system32\REX Shared Library.dll
2007-09-16 20:01 126,976 --a------ C:\WINDOWS\system32\EASIDS.dll
2007-09-16 20:01 114,688 --a------ C:\WINDOWS\system32\EASIMME.dll
2007-09-16 20:01 53,248 --a------ C:\WINDOWS\system32\VSM Manager.dll
.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-10-30 14:59 --------- d-----w C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\Skype
2007-10-29 16:20 105,336 ----a-w C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\GDIPFONTCACHEV1.DAT
2007-10-24 17:39 --------- d-----w C:\Programme\FlashFXP
2007-10-23 14:14 --------- d-----w C:\Programme\Java
2007-10-17 15:32 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-10-17 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Adobe
2007-10-16 16:17 --------- d-----w C:\Dokumente und Einstellungen\Enzo\Anwendungsdaten\Ulead Systems
2007-10-16 16:15 --------- d-----w C:\Programme\Ulead Systems
2007-10-16 16:15 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Ulead Systems
2007-10-15 20:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2007-10-15 20:48 --------- d-----w C:\Programme\QuickTime
2007-08-29 17:01 --------- d-----w C:\Programme\Skype
2007-08-29 17:01 --------- d-----w C:\Programme\Gemeinsame Dateien\Skype
2007-08-29 17:01 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Skype
2007-08-29 15:23 --------- d-----w C:\Programme\Winamp
2007-08-29 14:23 --------- d-----w C:\Programme\Magix
2007-08-29 14:14 --------- d-----w C:\Programme\Sekd
2007-08-29 14:00 --------- d-----w C:\Programme\VOB
2007-08-29 13:59 --------- d-----w C:\Programme\Steinberg
.
(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SoundMAXPnP"="C:\Programme\Analog Devices\Core\smax4pnp.exe" [2006-05-01 11:07]
"SoundMAX"="C:\Programme\Analog Devices\SoundMAX\Smax4.exe" [2006-04-10 08:19]
"JMB36X Configure"="C:\WINDOWS\system32\JMRaidTool.exe" [2006-06-02 17:45]
"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-14 15:51]
"nwiz"="nwiz.exe" [2005-12-14 15:51 C:\WINDOWS\system32\nwiz.exe]
"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-14 15:51]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2005-12-10 15:57]
"Adobe Version Cue CS2"="C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe" [2005-04-06 15:53]
"Acrobat Assistant 7.0"="C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe" [2004-12-14 01:12]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 C:\WINDOWS\LOGI_MWX.EXE]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2007-06-29 05:24]
"iTunesHelper"="C:\Programme\iTunes\iTunesHelper.exe" [2007-09-26 13:42]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-27 16:55]
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 13:00]
"swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-18 15:49]
"Skype"="C:\Programme\Skype\Phone\Skype.exe" [2007-08-25 20:54]
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\
Adobe Acrobat - Schnellstart.lnk - C:\WINDOWS\Installer\{AC76BA86-1033-F400-7760-000000000002}\SC_Acrobat.exe [2006-09-01 13:20:22]
Adobe Gamma.lnk - C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 19:16:50]
EPSON Status Monitor 3 Environment Check(3).lnk - C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE [2002-06-10 02:01:00]
Microsoft Office.lnk - C:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 00:01:04]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"Userinit"="C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,"
R1 Asapi;Asapi;C:\WINDOWS\system32\drivers\Asapi.sys
S2 nvcap;nVidia WDM Video Capture (universal);C:\WINDOWS\system32\DRIVERS\nvcap.sys
S2 NVXBAR;nVidia WDM A/V Crossbar;C:\WINDOWS\system32\DRIVERS\NVxbar.sys
S3 GVCplDrv;GVCplDrv;C:\WINDOWS\system32\drivers\GVCplDrv.sys
S3 SeratoUsb;SeratoUsb driver;C:\WINDOWS\system32\Drivers\SeratoUsb.sys
.
**************************************************************************
catchme 0.3.1239 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-10-30 16:17:32
Windows 5.1.2600 Service Pack 2 NTFS
Scanne versteckte Prozesse...
Scanne versteckte Autostart Einträge...
Scanne versteckte Dateien...
C:\WINDOWS\system32\ntos.exe 202240 bytes executable
C:\WINDOWS\system32\wsnpoem
Scan erfolgreich abgeschlossen
versteckte Dateien: 2
**************************************************************************
.
Zeit der Fertigstellung: 2007-10-30 16:18:34 - machine was rebooted
.
--- E O F ---
=========================================================================
Hier noch der Logfile von Hijack this:
ogfile of HijackThis v1.99.1
Scan saved at 16:57:09, on 30.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
E:\Neuer Ordner\data\database\bin\mysqld-nt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\Core\smax4pnp.exe
C:\Programme\Analog Devices\SoundMAX\Smax4.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Dokumente und Einstellungen\Enzo\Desktop\hijackthis_199\HijackThis.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Programme\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check(3).lnk = C:\WINDOWS\system32\spool\drivers\w32x86\3\E_SRCV03.EXE
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1156962226156
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe Version Cue CS2 - Unknown owner - C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe" -win32service (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe