Zlob.Trojan & SpywareQuakeThema ist geschlossen! |
||
---|---|---|
Thema ist geschlossen! |
||
#0
| ||
10.11.2007, 15:11
Member
Beiträge: 11 |
||
|
||
10.11.2007, 19:22
Gesperrt
Beiträge: 2 |
#2
Willkommen im Protecus-Board.
Ich bin [SYP] Battlecommander und werde dir so gut wie möglich helfen. Avira Anti Virus Personal Edition Classic findet doch alle Viren (inklusive Trojaner) außer Spyware. Du sagst du hast Anti Vir durchlaufen lassen und das hat nichts gefunden. Ich sage das kann nicht stimmen da Avira Anti Vir Trojaner FINDET! Egal Weißt du welche Trojaner das sind? (Namen der Viren) Und wo der Fund erfolgte? (Pfad) Aja und in deinem HijackThis Logfile sehe ich nichts besonderes. Scheint clean zu sein. Wenn du nach guten Anti Viren Softwares suchst ... etc dann besuch mal die SaveYourPc Website. ______________________________________________________________ Mit Lieben Grüßen, dein Freund und Helfer, [SYP] Battlecommander. |
|
|
||
10.11.2007, 21:11
Member
Themenstarter Beiträge: 11 |
#3
Zitat [SYP]BattleAV posteteHallo Battlecommander, danke für deine Antwort. Wie bereits geschrieben findet 'Spyhunter' Trojaner. AntiVir hat sie nicht gefunden. Kannst mir ruhig glauben, daß ich AntiVir habe laufen lassen, wenn ich es schreibe. Habe anschließend vor lauter Wut AntiVir direkt deinstalliert!! Ich poste mal die Pfade die Spyhunter angibt: HKEY_Local_machine\Software\Microsoft\Windows\CurrentVersion\Run\avp HKEY_Current\User\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\ESCDomains\gromozon.com HKEY_Current\User\Software\Microsoft\Windows\CurrentVersion\InternetSettings\ZoneMap\ESCDomains\zcodec.com HKEY_Local_machine\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\Public Messenger ver 2.03 Dankeschön und Gruß |
|
|
||
10.11.2007, 21:43
Moderator
Beiträge: 7805 |
#4
Das was Spyhunter da gefunden hat kannst du getrost unter Fehlalarm verbuchen. Das Programm solltest du bei naechster Gelegenheit von der Platte putzen. Dein Hijackthis log ist sauber. Du kannst wenn du moechtest gerne noch ein Combofix Report nachschieben.
Was genau meinst du mit "Trojaner ueber Hotmail eingefangen"? Nachtrag, sollte nichts weiter gefunden werden, steht noch ein Windowsupdate via www.windowsupdate.com an! __________ MfG Ralf SEO-Spam Hunter |
|
|
||
10.11.2007, 22:16
Member
Themenstarter Beiträge: 11 |
#5
Zitat raman posteteHallo Raman, danke für deine kompetente Antwort. Ich meinte mit "Trojaner ueber Hotmail eingefangen", daß ich als Spyhunter mir diese Meldungen gab, ich davon ausgegangen bin, das es an einer eMail lag, die ich vor kurzem geöffnet habe. War von einem Kontakt von mir. Ich sollte dort meine eMail-Addy eingeben, um angeblich sehen zu können, wer mich über msn-Messenger alles von meinen Kontakten blockiert hat. Seitdem ich diesen "Blödsinn" gemacht habe, hängt sich mein PC erst 1-3x auf wenn ich ihn starte, bevor er dann wieder vernünftig rundläuft. (Dieses Problem habe ich immer noch.) Auch springt der Internet Explorer manchmal einfach auf andere Web-Adressen. Dann habe ich ca. 7 verschiedende Antivirenprogramme drüberlaufen lassen und nur dieses blöde Spyhunter hat immer wieder was gefunden. (Ich schmeiße das Ding jetzt sofort runter. Abzieherbande!) Ich denke nicht das ein Combofix Report notwendig ist, oder was meinst du nach den beschriebenen Symptomen? Zumal ich gar nicht genau weiß, wie ich diesen Report starte/bekomme. Lieben Dank AmirRamirez |
|
|
||
11.11.2007, 09:16
Moderator
Beiträge: 7805 |
#6
Wie du den Report erstellst, erfaehrst du hier: http://board.protecus.de/t23188.htm
Ich hoffe du hast dein Passwort fuer MSN geaendert? __________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.11.2007, 13:35
Member
Themenstarter Beiträge: 11 |
#7
Zitat raman posteteDankeschön, ich werde den Report gleich mal erstellen und posten. Nein, habe mein Passwort nicht geändert...aber gleich sofort! Dankeschön und Gruß So, nun hier der Report. Vielen Dank im Voraus! Konnte leider aufgrund der "Doppelpostsperre" keinen neuen Beitrage einfügen! ComboFix 07-11-08.1 - User 2007-11-11 13:42:33.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.49.1031.18.684 [GMT 1:00] ausgeführt von:: C:\Dokumente und Einstellungen\User\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt . ((((((((((((((((((((((( Dateien erstellt von 2007-10-11 bis 2007-11-11 )))))))))))))))))))))))))))))) . 2007-11-11 13:41 51,200 --a------ C:\WINDOWS\NirCmd.exe 2007-11-10 19:03 <DIR> d-------- C:\Programme\SPYWAREfighter 2007-11-10 19:03 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Application 2007-11-10 15:37 0 --a------ C:\WINDOWS\system32\SBRC.dat 2007-11-10 15:37 0 --a------ C:\WINDOWS\system32\SBFC.dat 2007-11-10 15:27 15,544 --a------ C:\WINDOWS\system32\drivers\sbhr.sys 2007-11-10 15:25 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Sunbelt Software 2007-11-10 15:24 <DIR> d-------- C:\Programme\Sunbelt Software 2007-11-10 15:24 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Sunbelt Software 2007-11-08 23:57 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\Kingston 2007-11-08 23:19 82,061 --a------ C:\WINDOWS\system32\drivers\klick.dat 2007-11-08 23:19 81,549 --a------ C:\WINDOWS\system32\drivers\klin.dat 2007-11-08 23:18 <DIR> d-------- C:\Programme\Kaspersky Lab 2007-11-08 23:18 <DIR> d----c--- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab 2007-11-08 23:18 2,114,592 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat 2007-11-08 23:18 27,680 --ahs---- C:\WINDOWS\system32\drivers\fidbox2.dat 2007-11-08 23:15 <DIR> d-------- C:\kav 2007-11-08 22:58 <DIR> d-------- C:\Programme\Trend Micro 2007-11-08 22:38 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2007-11-08 22:37 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll 2007-11-08 22:16 28,672 --a------ C:\WINDOWS\system32\drivers\CO_Mon.sys 2007-11-08 21:59 <DIR> d-------- C:\Programme\Enigma Software Group 2007-10-28 02:57 49,152 --a------ C:\WINDOWS\system32\nircmd.exe 2007-10-28 02:57 16,384 --a------ C:\WINDOWS\system32\restart.exe 2007-10-28 02:57 11,254 --a------ C:\WINDOWS\system32\locate.com 2007-10-28 01:15 61,516 --a------ C:\WINDOWS\system32\Fix.bat 2007-10-21 18:17 <DIR> d-------- C:\Programme\Windows Media Connect 2 2007-10-21 18:10 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2007-10-21 18:10 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF 2007-10-21 18:03 <DIR> d-------- C:\Dokumente und Einstellungen\User\Anwendungsdaten\DivX . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2007-11-10 23:37 3,380 --sha-w C:\WINDOWS\system32\drivers\fidbox2.idx 2007-11-10 23:37 29,384 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2007-11-08 22:49 --------- d-----w C:\Programme\DivX 2007-11-08 22:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy 2007-11-08 22:38 --------- d-----w C:\Programme\SUPERAntiSpyware 2007-11-08 22:38 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\SUPERAntiSpyware.com 2007-10-06 14:45 --------- d-----w C:\Dokumente und Einstellungen\User\Anwendungsdaten\dvdcss 2007-10-04 20:29 --------- d-----w C:\Programme\Java 2007-09-27 15:51 --------- d-----w C:\Programme\Gemeinsame Dateien\Ahead 2007-08-27 10:26 27,120 ----a-w C:\WINDOWS\system32\SBBD.exe 2006-10-15 01:06 127,378 ----a-w C:\Programme\avenger.zip 2006-10-15 00:52 599,555 ----a-w C:\Programme\SmitfraudFix[1].zip 2005-02-16 09:06 218,112 ----a-w C:\Programme\HijackThis.exe 2003-09-09 10:20 20,480 ----a-w C:\Programme\start.exe . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-04-19 12:26] "nwiz"="nwiz.exe" [2007-04-19 12:26 C:\WINDOWS\system32\nwiz.exe] "SoundMan"="soundman.exe" [2002-02-04 16:05 C:\WINDOWS\soundman.exe] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2006-10-21 01:37] "ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2006-10-13 14:27] "SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-04-19 12:26] "AVP"="C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" [2007-06-28 12:51] "SBCSTray"="C:\Programme\Sunbelt Software\CounterSpy\SBCSTray.exe" [2007-08-27 12:09] "spywarefighterguard"="C:\Programme\SPYWAREfighter\spftray.exe" [2007-06-08 11:52] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57] "BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" [] [HKEY_USERS\.default\software\microsoft\windows\currentversion\run] "InfoCockpit"=C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash R0 SBHR;SBHR;C:\WINDOWS\system32\drivers\sbhr.sys R3 klim5;Kaspersky Anti-Virus NDIS Filter;C:\WINDOWS\system32\DRIVERS\klim5.sys R3 SpyFighter;SpyFighter Guard Device;\??\C:\Programme\SPYWAREfighter\spyfighter.sys R3 SPYWAREfighterRP;SPYWAREfighterRP;"C:\Programme\SPYWAREfighter\spfprc.exe" S0 wvvhdtyb;wvvhdtyb;C:\WINDOWS\system32\drivers\xwgkprig.sys S3 HotSpotFSvc;Hotspot Manager;"C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe" S3 MIINPazX;MIINPazX NDIS Protocol Driver;\??\C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;\??\C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS S3 SBAPIFS;SBAPIFS;\??\C:\WINDOWS\system32\drivers\sbapifs.sys S3 TSMPacket;T-DSL Manager Service;C:\WINDOWS\system32\DRIVERS\tsmpkt.sys *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1250 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-11-11 13:51:44 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2007-11-11 13:53:03 . --- E O F --- Dieser Beitrag wurde am 11.11.2007 um 13:58 Uhr von AmirRamirez editiert.
|
|
|
||
11.11.2007, 15:06
Moderator
Beiträge: 7805 |
#8
Das sieht gut aus. Denke bitte daran, dein Windows zu aktualisieren!
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.11.2007, 15:08
Member
Themenstarter Beiträge: 11 |
#9
Zitat raman posteteMache ich. Vielen Dank! Kann es denn jetzt ausgeschlossen sein, daß mein PC infiziert ist? |
|
|
||
11.11.2007, 15:22
Moderator
Beiträge: 7805 |
#10
Ausschliessen kann man das nie, aber alles was da in den Reporten zu sehen ist, sagt Rechner ist sauber.
Teste die Datei C:\WINDOWS\system32\drivers\xwgkprig.sys bitte einmal bei Jotti oder Virustotal __________ MfG Ralf SEO-Spam Hunter |
|
|
||
11.11.2007, 18:23
Member
Themenstarter Beiträge: 11 |
#11
Zitat raman posteteHabe ich gemacht. Nichts zu finden. Ich nehme das mal so hin. Schönen Dank... Gruß |
|
|
||
habe mir mit einer hotmail eMail mehrere Trojaner (mind. 3) eingefangen.
Spyhunter findet diese, allerdings habe ich nur die kostenlose Version, also keine Löschfunktion. Man muß das Ding kaufen wenn es auch reinigen soll.
Alle anderen Virenprogramme (SuperAntiSpy, AntiVir, Kaspersky ect...) die ich habe laufen lassen, haben die Trojaner erst garnicht entdeckt.
Jetzt meine Frage:
Gibt es ein kostenloses Programm was mir sicher und schnell helfen kann?
Vielen lieben Dank im Voraus!
(Habe falls notwendig auch mal den Logg von HijackThis kopiert.)
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:10:58, on 10.11.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\soundman.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Enigma Software Group\SpyHunter\SpyHunter.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.haaretz.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.businessonline.t-online.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.telekom.de/bo/firststart
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-DSL Business
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.businessonline.t-online.de
O16 - DPF: {266B9238-31A5-4B53-9039-272FE846DF9D} (DiameterTransfer Control) - http://www.sis.com/download/SISTransfer.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {40289096-9F72-4A04-BCB3-E434ECDCEE33} (AppDLCtrl Class) - http://download.howudodat.com/chatterbox/download/appdl.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by106fd.bay106.hotmail.msn.com/resources/MsnPUpld.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup162.cab
O23 - Service: Kaspersky Anti-Virus 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
--
End of file - 5826 bytes