Trojan horse downloader detectet

#1 Hallo, mein AVG 8.0 findet einen Trojan horse downloader... hier mal das hijackthislog (diesmal werde ich auf die antwort warten)

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:09:00, on 10.07.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\PROGRA~1\AVG\AVG8\avgtray.exe
d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
d:\PROGRA~1\AVG\AVG8\avgam.exe
d:\PROGRA~1\AVG\AVG8\avgrsx.exe
d:\PROGRA~1\AVG\AVG8\avgnsx.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Windows Media Player\wmplayer.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AVG Safe Search - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - d:\Programme\AVG\AVG8\avgssie.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O4 - HKLM\..\Run: [AVG8_TRAY] d:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - d:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - C:\Programme\Yahoo!\Common\yinsthelper.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - d:\Programme\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Seagate\Schedule2\schedul2.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - d:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

--
End of file - 3142 bytes

hoffe ihr könnt mir helfen...




mfg markus
__________
MfG Markus

#2

Zitat

AVG 8.0 findet einen Trojan horse downloader

hast du auch den Pfad oder den scanreport zur Hand ?
__________
MfG Sabina

rund um die PC-Sicherheit

#3 C:/System Volume Information ..... ist in quarantäne... aber der hijackthisreport.. was sagt der? ich glaube der hat sich in die yahoo toolbar eingenistet...
__________
MfG Markus

#4

Zitat

C:/System Volume Information

Das sind die Restore -Dateien wo er gefunden wurde,(die kannst Du mit dem Explorer nicht einsehen, es Zeigt immer Null Byte an und ist versteckt/ aber ist in Wirklichkeit knacke voll), Wenn Dein System funktioniert und Du nicht momentan auf eine Wiederherstellung angewiesen bist, kannst Du Häkchen setzen auf "Systemwiederherstellung auf allen Laufwerken deaktivieren" -und nach Beenden des "Krummelns" auf der Platte kannst Du sie gleich wieder aktivieren (Es wird dann gleich ein neuer Systemprüfpunkt erstellt). So sind Deine Restoredateien erstmal gelöscht (+Virus-Überbleibsel),und obendrein hast Du gleich paar Gb mehr Speicheplatz wieder frei.Alternativ kannst Du auch eine Software verwenden, die die Restoredateien mit säubert.(...mal kundig machen).Lässt Du die Restoredateien "ungesäubert" und stellst das System wieder auf ein "vorheriges Datum", kann es passieren, Du hast den gesamten Mist wieder im laufenden System.

Im Log sind zwei Einträge die evtl. kritisch sind:
!!aber vorher nochmal abwarten was Sabina dazu sagt bevor Du sie fixt!!
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

#5 C:/System Volume Information Zugriff verweigert... hmm kann man das nicht auch irgendwie mit den Eigenschaften der Festplatte machen? Ich finde aber leider nicht mehr die Seite auf der das stand.. weiß jemand wie man die löschen kann? (deaktiviert ist schon..)

-ps wie sieht denn das hijackthis log aus??



mfg markus
__________
MfG Markus

#6 Wenn Du sie schon deaktiviert hast ist sie auch wirklich gesäubert, Aber vergess' nicht sie wieder zu aktivieren,Du wirst vielleicht eines Tages froh darüber sein
Das mit dem "Zugriff verwreigert" ist normal - weiter lässt Dich der Explorer nicht! -weil das Systemintern ist !

#7 ok danke aber wie sieht denn das hijackthis log aus? sieht man da irgendwelche besonderen prozesse die da nicht hingehören? bin über jede antwort dankbar



mfg markus
__________
MfG Markus

#8 ...hab meinen Beitrag von 15:06 dazu erweitert, wenn Du's noch nicht gelesen hast

#9 Hatte ich noch nicht gelesen ... OK dann warte ich mal was Sabina dazu sagt... danke nochmal .. aber die System volume Information war schon immer deaktiviert.. wie ist der dann erst da reingekommen? Mysteriös xD



mfg markus
__________
MfG Markus

#10 Nochmal kontrollieren !
Wenn das Häkchen drin ist, ist sie deaktiviert !
Wenn es draußen ist ist sie aktiviert. Nicht verwechseln !!
Deswegen heisst es ja auch Systemwiederherstellung auf beiden Laufwerken deaktivieren !

#11 ok dann hab ich es wirklich verwechselt (mein fehler)
also dann warten wir mal auf sabina was die über das hijackthis-log sagt

danke nochmal
__________
MfG Markus

#12
Fixe mit HijackThis (Nur das, nichts weiter)

Zitat

R3 - URLSearchHook: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

__________
MfG Sabina

rund um die PC-Sicherheit

#13 und dann schon alles weg?
__________
MfG Markus

#14 ...Jetzt kannst Du ja Deinen Virenscanner nochmal drüberjagen, und wenn der immer noch was findet, dann les' Dir nochmal in Ruhe das mit der Systemwiederherstellung durch, wie Du evtl.Mist dort noch sauber bekommst.
Aber verwechsel nichts wieder, denn wenn Du momentan einen anderen Systemwiederherstellungspunkt anwählst bevor Du die Restoredateien mal "refresh'd" hast, hast Du auch die Registry wieder "eingesaut"
...Steht ja alles schonmal oben !

#15 ok danke an alle der antivirus findet garnichts mehr - außer cookies .. macht aber nix



thx an euch beiden
__________
MfG Markus