Virus/Trojan Gefunden in antivir nicht bekannt |
||
---|---|---|
#0
| ||
03.03.2004, 19:38
...neu hier
Beiträge: 3 |
||
|
||
03.03.2004, 19:56
Member
Beiträge: 1122 |
||
|
||
03.03.2004, 20:31
...neu hier
Themenstarter Beiträge: 3 |
#3
Zitat Dafra posteteMir ist ein kleiner fehler unterlaufen ich muss bei dem prozess killen in der zeile verutscht sein oder so. Als ich smss.exe nochmal gekickt habe konnte ich den taskman immer noch nichbenutzen. Ich such noch weiter nach dem prozess achja und noch der log: Logfile of HijackThis v1.97.7 Scan saved at 20:24:07, on 03.03.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\savedump.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\AntiVir\AVGUARD.EXE C:\WINDOWS\System32\Ati2evxx.exe D:\Programme\AntiVir\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\Tablet.exe C:\Programme\RealVNC\WinVNC\winvnc.exe C:\WINDOWS\System32\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\Launch Manager\LaunchAp.exe C:\Programme\Launch Manager\HotkeyApp.exe C:\Programme\Launch Manager\CtrlVol.exe C:\Programme\Launch Manager\Wbutton.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\System32\FMNTW.EXE D:\Programme\AntiVir\AVGNT.EXE D:\Programme\AntiVir\AVSched32.EXE C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\system32\cmd.exe C:\Programme\Mozilla.org\Firebird\MozillaFirebird.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Dokumente und Einstellungen\BENUTZERNAMEN\Desktop\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.medion.com R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 81.99.155.205:8080 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Metacrawler - {2685A3D0-1459-45EE-8426-5B8CF98899A8} - C:\WINDOWS\Downloaded Program Files\metabar.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [ChkMail] èn‡ O4 - HKLM\..\Run: [CheckMedi8or] D:\Programme\Mediator 7 Pro\CheckNewUser.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Windows Config] FMNTW.EXE O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AntiVir\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AntiVir\AVSched32.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [IECHECK.EXE] C:\WINDOWS\iecheck.exe O4 - HKCU\..\RunOnce: [Windows Config] FMNTW.EXE O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Download by NetAnts - C:\PROGRA~1\NetAnts\NAGet.htm O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download &All by NetAnts - C:\PROGRA~1\NetAnts\NAGetAll.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM) O9 - Extra button: NetAnts (HKLM) O9 - Extra 'Tools' menuitem: &NetAnts (HKLM) O9 - Extra button: ICQ Pro (HKLM) O9 - Extra 'Tools' menuitem: ICQ (HKLM) O9 - Extra button: Translate (HKLM) O9 - Extra 'Tools' menuitem: LingoWare Translator... (HKLM) O9 - Extra button: ICQ Lite (HKLM) O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM) O9 - Extra button: Real.com (HKLM) O14 - IERESET.INF: START_PAGE_URL=http://www.medion.com O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab O16 - DPF: {2685A3D0-1459-45EE-8426-5B8CF98899A8} (Metacrawler) - http://www.metacrawler1.de/metabar/metabar.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{44B0CB41-047F-45C1-9DEC-DEE2E285FA7A}: NameServer = 192.168.1.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{D815E7D0-F932-4319-A9A9-ACC37CADE91A}: NameServer = 192.168.1.1,0.0.0.0 Und noch eine Liste mit allen prozessen: Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03 Copyright(C) 2002-2003 Craig.Peacock@beyondlogic.org ImageName PID Threads Priority CPU Owner Idle 0 1 0 49 Error 0x6 : Das Handle ist ung³ltig. System 4 57 8 0 Error 0x5 : Zugriff verweigert smss.exe 560 2 11 0 NT-AUTORIT─T\SYSTEM csrss.exe 612 10 13 0 NT-AUTORIT─T\SYSTEM winlogon.exe 636 21 13 0 NT-AUTORIT─T\SYSTEM services.exe 680 25 9 0 NT-AUTORIT─T\SYSTEM lsass.exe 692 25 9 0 NT-AUTORIT─T\SYSTEM svchost.exe 868 11 8 0 NT-AUTORIT─T\SYSTEM svchost.exe 1024 6 8 0 Error 0x5 : Zugriff verweigert svchost.exe 1048 14 8 0 Error 0x5 : Zugriff verweigert spoolsv.exe 1268 14 8 0 NT-AUTORIT─T\SYSTEM explorer.exe 1580 14 8 5 LAPTOP\BENUTZERNAMEN AVGUARD.EXE 1680 10 8 44 NT-AUTORIT─T\SYSTEM ati2evxx.exe 1712 3 8 0 NT-AUTORIT─T\SYSTEM AVWUPSRV.EXE 1820 3 8 0 NT-AUTORIT─T\SYSTEM mdm.exe 1856 5 8 0 NT-AUTORIT─T\SYSTEM Tablet.exe 1948 6 13 0 NT-AUTORIT─T\SYSTEM winvnc.exe 1996 4 8 0 NT-AUTORIT─T\SYSTEM atiptaxx.exe 208 1 8 0 LAPTOP\BENUTZERNAMEN SynTPLpr.exe 272 3 8 0 LAPTOP\BENUTZERNAMEN SynTPEnh.exe 284 3 8 0 LAPTOP\BENUTZERNAMEN LaunchAp.exe 288 1 8 0 LAPTOP\BENUTZERNAMEN HotkeyApp.exe 300 1 8 0 LAPTOP\BENUTZERNAMEN ctrlvol.exe 312 1 8 0 LAPTOP\BENUTZERNAMEN WButton.exe 324 1 8 0 LAPTOP\BENUTZERNAMEN qttask.exe 428 5 8 0 LAPTOP\BENUTZERNAMEN fmntw.exe 444 5 8 0 LAPTOP\BENUTZERNAMEN AVGNT.EXE 460 2 8 0 LAPTOP\BENUTZERNAMEN AVSCHED32.EXE 524 1 8 0 LAPTOP\BENUTZERNAMEN ctfmon.exe 340 1 8 0 LAPTOP\BENUTZERNAMEN cmd.exe 176 1 8 0 LAPTOP\BENUTZERNAMEN svchost.exe 1068 8 8 0 NT-AUTORIT─T\SYSTEM Process.exe 1588 1 13 0 LAPTOP\BENUTZERNAMEN ------------------- EDIT 2 -------------------------- so ich hab ihn gefunden es ist fmntw.exe in Wwindir\System32\ is 30kb groß eine suche nach fmntw in google ergab nur eine seite auf der alle wörter von aaaaa-zzzzz standen. Bin wohl der erste der den hat. werd ihn mir mal im hexeditor anschauen und nach texten suchen. ich glaub ich schreib ein remove tool. Dieser Beitrag wurde am 03.03.2004 um 20:46 Uhr von jix editiert.
|
|
|
||
03.03.2004, 20:42
Moderator
Beiträge: 7805 |
#4
Diese Daei wird wohl der Virus sein. Bitte das "fix"en:
O4 - HKCU\..\RunOnce: [Windows Config] FMNTW.EXE O4 - HKCU\..\Run: [IECHECK.EXE] C:\WINDOWS\iecheck.exe O4 - HKLM\..\Run: [Windows Config] FMNTW.EXE Nach einem Neustart hier mal durcharbeiten: http://board.protecus.de/t9373.htm und einen Onlinescann mit RAV/ Trend machen: http://www.bul-online.de/av/onlinescan.shtml __________ MfG Ralf SEO-Spam Hunter |
|
|
||
03.03.2004, 20:56
...neu hier
Themenstarter Beiträge: 3 |
#5
Zitat raman postetewar gerade am editieren als der post kam. hat sich geklärt: fmntw.exe Packed: UPX fmntw.exe Infected: Backdoor.Spyboter.gen das ich keine google ergebnisse hatte lag wahrscheinlich an einem zufalls namen. aber das antivir den nich findet mit aktueller datenbank spricht nicht grad für antivir Dieser Beitrag wurde am 03.03.2004 um 20:59 Uhr von jix editiert.
|
|
|
||
03.03.2004, 21:21
Moderator
Beiträge: 7805 |
#6
Datei einfach an virus@protecus.de schicken und er wird ihn bald erkennen! Aber gehe die anderen Sachen nochmal durch, die ich oben genannt hatte.
__________ MfG Ralf SEO-Spam Hunter |
|
|
||
Nachdem ich meine ganze festplatte überprüft hatte und keine ergebnise hatte, habe ich versucht ob da ein ungewöhnlicher prozess ist. ich hab dan mit process.exe ( von Craig.Peacock(AT!)beyondlogic(DOT!)org ) so lange prozesse gekillt bis ich wieder taskman öffnen konnte. Als ich smss.exe gekillt habe ging wieder alles. Ich habe dan nach smss.exe gesucht und es 3 mal gefunden in system32 in I368\SYSTEM32 und in ServicePacksFiles\i368. Die erste und dritte datei waren gleich und hatten die selbe größe. die in I368 war aber mehr als 10mal so groß (497 KB (508.928 Bytes)). ich gehe mal davon aus das da ein Virus oder Trojan drinne ist.