Forum
Tipps
News
Menu-Icon

Trojaner und Rootkit

Ich habe mal einen Onlinescan mit f-secure gemacht weil ständig Leute in meiner icq Liste umbenannt werden und meine Änderungen noch einem Logout wieder weg sind. Das Ergebniss: Einmal Trojan-Dropper.Win32.Agent.cca  in der Datei:C:\RECYCLER\S-1-5-21-220523388-2000478354-682003330-1004\DC51.EXE   und dann noch:Stealth_application in der Datei: C:\DOKUMENTE UND EINSTELLUNGEN\BJ�RN\LOKALE EINSTELLUNGEN\ANWENDUNGSDATEN\PIARACMOXH.EXE


Ich nutze immer brain.exe und hab Avira Premium Security Suite, Alle Windows Updates und Avira Aktuell. Wie kann das passieren und muss Ich umbedingt formatieren? Hier noch mein Log:



Logfile of HijackThis v1.99.1
Scan saved at 18:47:03, on 13.10.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira Premium Security Suite\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe
C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe
C:\Programme\Intel\Wireless\Bin\EOUWiz.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira Premium Security Suite\avfwsvc.exe
C:\Programme\Avira Premium Security Suite\avesvc.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\Programme\Avira Premium Security Suite\avmailc.exe
C:\Programme\Avira Premium Security Suite\AVWEBGRD.EXE
C:\PROGRA~1\Intel\Wireless\Bin\Dot1XCfg.exe
C:\DOKUME~1\BJRN~1\LOKALE~1\Temp\RtkBtMnt.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\BJRN~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\BJRN~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Opera\Opera.exe
C:\Dokumente und Einstellungen\Björn\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira Premium Security Suite\avgnt.exe" /min
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IntelZeroConfig] "C:\Programme\Intel\Wireless\bin\ZCfgSvc.exe"
O4 - HKLM\..\Run: [IntelWireless] "C:\Programme\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless
O4 - HKLM\..\Run: [EOUApp] "C:\Programme\Intel\Wireless\Bin\EOUWiz.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [WEB.DE_WEB.DE MultiMessenger] "C:\Programme\WEB.DE\WEB.DE MultiMessenger\MESSENGR.EXE" /hide
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Broken Internet access because of LSP provider 'avsda.dll' missing
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1191238892125
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Avira Premium Security Suite Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avfwsvc.exe
O23 - Service: Avira Premium Security Suite MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avmailc.exe
O23 - Service: Avira Premium Security Suite Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira Premium Security Suite\sched.exe
O23 - Service: Avira Premium Security Suite Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avguard.exe
O23 - Service: Avira Premium Security Suite WebGuard (antivirwebservice) - Avira GmbH - C:\Programme\Avira Premium Security Suite\AVWEBGRD.EXE
O23 - Service: Avira Premium Security Suite MailGuard Hilfsdienst (AVEService) - Avira GmbH - C:\Programme\Avira Premium Security Suite\avesvc.exe
O23 - Service: Intel(R) PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Intel(R) PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Intel(R) PROSet/Wireless Service (S24EventMonitor) - Intel Corporation  - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe

  

« Letzte Änderung: 13.10.07, 19:00:09 von schalker1904 »


Antworten zu Trojaner und Rootkit:

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Nix auffälliges im log!

Die beiden können deine cpu ziemlich auslasten.

C:\DOKUME~1\BJRN~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\DOKUME~1\BJRN~1\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe


Lasse deinen Pc mal im abgesicherten modus mit antivir scannen,müsste den dropper beseitigen können.
 

wenn nicht dann,scanne deinen pc mit Cureit:
Cureit:
Das kostenlose Programm muss nur herunter geladen, eine Installation ist nicht erforderlich und ist vollständig in Deutsch.
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
oder
http://www.freedrweb.com/cureit/?lng=de
Wähle nach der kurzen Expressprüfung deine Systempartition aus, in der Regel ist das Laufwerk C und
beginne den vollständigen Scan. Poste bitte bei einen Malware Fund auf jeden Fall den ausführlichen Scanreport von Cureit hier !

Die Aktion muss im abgesicherten Modus von Windows erfolgen und
achte darauf dass der Browser geschlossen ist und keine Internetverbindung besteht, Idealerweise sollten alle Anwendung geschlossen sein !
Unter http://www.bsi.de/av/texte/wiederher.htm
findet man eine Anleitung zum Start im abgesicherten Modus von Windows.

Poste die ergebnisse.

gruß deniz

Weder AntiVir noch Dr. Web finden im Abgesicherten Modus was

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Mhhhh  ??? konnte f-secure die Funde nicht löschen?

Nur den Trojaner

@schalker1904
Versuche die Datei
PIARACMOXH.EXE
zu isolieren und schicke zur Analyse an AVIRA.

http://analysis.avira.com/samples/index.php

Kann Ich nicht hochladen. Der scan mit f-secure hat wohl doch beides erwicht. Ich hab nochmal geskannt aber er findet nichts bedeutendes mehr. Ich traue dem Braten aber nicht so ganz. Ist das echt so einfach ein Dropper und ein Rootkit loszuwerden?

..eigentlich nicht..hat sich vieleicht versteckt?

zuerst
Plattenbereinigung
zum löschen aller temporären dateien

-------------------------------------------------------
Im Normalmodus sind etliche Dateien gesperrt .
Darum : Virenscan unbedingt immer im abgesicherten Modus  !

Ausserdem verstecken sich welche ggf in der Systemwiederherst.
Vor dem Scan dort unter SYSTEM die Systemwiederherstellumg AUS ,
(vorsicht, alle Punkte sind dann weg)

Virenscan machen  & ggf Adwarscan mit Spybot S&D oder Adware-SE

Systemwiederherst. wenn OK = wieder AN
Normalstart und Systemwiederherstellungspunkt setzen .

Hab alles gemacht. Nach der Plattenbereinigung hatte Ich ohne einmal den Internetbrowser zu öffnen mit Ad Aware 137 Cokkies. Sonnst aber nix. Das Problem mit icq ist immer noch da.

das ist schlecht..würde das system neu aufsetzten! Leider

mach gegebenenfalls vom neuen system dann Images
http://www.computerhilfen.de/hilfen-5-87954-0.html#msg560181

dann sind zukünftige probleme von gestern
dann kannst bei so hartnäckigen problemen dein system einfach in 3 minuten zurückspielen und brauchst nicht jedesmal das widerliche und mit arbeit verbundene neuaufsetzen in anspruch nehmen

Werde wohl mal neuaufsetzen. Das Problem mit icq hab ich übrigens nicht nur auf meinem Laptop. Ist auf allen anderen pc's auch so. Heute wurde der nächste umbenannt. Mit meiner 2 icq nummer ist aber noch alles in Butter.

..kann ich dir auch nur empfehlen, ..Schade!


« VIRUS mit avast! gefunden! brauche nun schnell hilfe!notebook betriebssystem »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Grundstrich
Der Begriff des Grundstrichs im Bereich der Typografie, bezeichnet den senkrechten Strich der Buchstaben. Bei Schriftarten mit variabler Strichstärke, wie zum Beispi...

Haarstrich
Der Begriff Haarstrich stammt aus dem Bereich der Typographie. Bei Schriften, wie zum Beispiel der Antiquaschrift mit unterschiedlichen Strichstärken, wird zwischen ...

Login/Logout
Als Login, beziehungsweise Logout wird das An- und Abmeldung vom Zugriff auf geschützte Daten oder Rechner bezeichnet. Diese Methode wird meistens genutzt um private...