taxi

Hallo und guten Tag :-)
auweia, gerade erhielt ich die Info über Avast, daß sich in meinem Arbeitsspeicher ein Virus befindet..... Heuristic...... und das empfohlen wird, ihn zu ignorieren (was ichdann auch getan habe) und den PC neu zu starten. Das begann dann mit einer Prüfung von Avast und dem nochmaligen Hinweis : C/Windows System 32 process.exe Rootkit:Versteckter Prozess ......
Diese Mitteilung erscheint jetzt immer wieder...... und nun?
Malwarebytes habe ich auch mal durchlaufen lassen, aber da ist nichts......
Kann mir bitte einer helfen?


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:08:57, on 12.12.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Sandboxie\SbieSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\SkyTel.EXE
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Sandboxie\SbieCtrl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Sandboxie\SandboxieRpcSs.exe
C:\Programme\Sandboxie\SandboxieDcomLaunch.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDTray] "E:\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SandboxieControl] "C:\Programme\Sandboxie\SbieCtrl.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1200174883265
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - E:\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Sandboxie Service (SbieSvc) - tzuk - C:\Programme\Sandboxie\SbieSvc.exe
O23 - Service: setup_7.0.0.180_18.05.2008_00-35 - Unknown owner - C:\Dokumente und Einstellungen\All Users\Desktop\Kaspersky Lab Tool\setup_7.0.0.180_18.05.2008_00-35.exe (file missing)

--
End of file - 5421 bytes

Leonixx

Hallo,

könnte sich um diesen hier handeln. Troj/Banker-MA

http://www.sophos.de/security/analys...jbankerma.html

Hast du Smitfraufix auf dem System? Könnte auch ein Fehlalarm sein.

Mache die versteckten Dateien und Ordner sichtbar. Dann die Datei auf Virustotal hochladen und auswerten. Poste das Ergebnis.

www.virustotal.com

Gruss Leonixx

taxi

Hallo,
hmm.... also mit mir muß man bei den PC-Sachen so reden,wie mit einem Osterhasen zu Weihnachten.....
Hmmm.... versteckte Dateien.....
Keine Ahnung,wie man die sichtbar macht ...
Aber ich habe eine Beschreibung hierzu bei freenet gefunden und sie genauso ausgeführt.Allerdings erscheinen dann bei "Suche" über 41000 Dateien, also denke ich,daß ich da irgendwas falsch mache.
Wie mache ich das?
Danke für die Antwort

Leonixx

Explorer-Extras-Ordneroptionen-Ansicht-Haken raus bei Geschütze Systemdateien ausblenden-Haken rein bei alle Dateien und Ordner anzeigen.

Kann durch aus sein das dann so viele Dateien angezeigt werden. Du gehst auf die Webseite von Virutotal, dann auf Durchsuchen klicken, dann gehst du auf Laufwerk C, Ordner Windows, Ordner System 32 und die Datei process.exe suchen.

Wenn du diese gefunden hast, dann einmal anklicken und auf senden der Datei klicken. Dann auf Anlalysieren der Datei klicken. Dann bekommst du ein Ergebnis. Dieses einfach kopieren und hier einfügen.

taxi

Hallo,
kein e Ahnung,ob ich das nun alles kopieren musste/sollte, aber die Anweisungen waren schon mal super und hier ist einfach mal ALLES:
Datei Process.exe empfangen 2008.12.13 18:50:32 (CET)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt


Ergebnis: 7/38 (18.43%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 3.
Geschätzte Startzeit ist zwischen 54 und 77 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:


Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2008.12.12.2 2008.12.13 -
AntiVir 7.9.0.45 2008.12.12 -
Authentium 5.1.0.4 2008.12.13 -
Avast 4.8.1281.0 2008.12.12 -
AVG 8.0.0.199 2008.12.13 -
BitDefender 7.2 2008.12.13 -
CAT-QuickHeal 10.00 2008.12.13 -
ClamAV 0.94.1 2008.12.13 Trojan.Killproc-1
Comodo 741 2008.12.12 -
DrWeb 4.44.0.09170 2008.12.13 Tool.Prockill
eSafe 7.0.17.0 2008.12.11 -
eTrust-Vet 31.6.6258 2008.12.12 -
Ewido 4.0 2008.12.13 -
F-Prot 4.4.4.56 2008.12.13 -
F-Secure 8.0.14332.0 2008.12.13 -
Fortinet 3.117.0.0 2008.12.13 Misc/PrcViewer
GData 19 2008.12.13 -
Ikarus T3.1.1.45.0 2008.12.13 -
K7AntiVirus 7.10.553 2008.12.13 -
Kaspersky 7.0.0.125 2008.12.13 -
McAfee 5462 2008.12.13 potentially unwanted program PrcViewer
McAfee+Artemis 5462 2008.12.13 potentially unwanted program PrcViewer
Microsoft 1.4205 2008.12.13 -
NOD32 3688 2008.12.12 Win32/PrcView
Norman 5.80.02 2008.12.12 -
Panda 9.0.0.4 2008.12.13 -
PCTools 4.4.2.0 2008.12.13 -
Prevx1 V2 2008.12.13 -
Rising 21.07.52.00 2008.12.13 -
SecureWeb-Gateway 6.7.6 2008.12.12 -
Sophos 4.36.0 2008.12.13 -
Sunbelt 3.2.1801.2 2008.12.11 -
Symantec 10 2008.12.13 -
TheHacker 6.3.1.2.186 2008.12.12 Aplicacion/Processor.20
TrendMicro 8.700.0.1004 2008.12.12 -
VBA32 3.12.8.10 2008.12.12 -
ViRobot 2008.12.12.1515 2008.12.12 -
VirusBuster 4.5.11.0 2008.12.13 -
weitere Informationen
File size: 53248 bytes
MD5...: 7397f6ee4a9601a123b645c0cd428017
SHA1..: 890368473ecbc404dcd42ff0c6c38397102f59c0
SHA256: 5aaf73ef89f0efab963abb170bc9b7cd7d4d5bd7a691cd8313 7b4cc39cd120de
SHA512: 8c9f85b64d8c1c43a11e654609d357fffdada311422cc02e5e fbf1243b4d35fc
20f4a58b1a663f85717d8a626c3db8f59af62d7044ed02974c d3d2b107f08784

ssdeep: 768:ORWMA68kDGXcK1JP9COApZsLUFDeLHAwu0aB0wWYS/a/x9GYDM0+0O:OkMKH
9fApDFPgiKMM0I

PEiD..: -
TrID..: File type identification
Win64 Executable Generic (59.6%)
Win32 Executable MS Visual C++ (generic) (26.2%)
Win32 Executable Generic (5.9%)
Win32 Dynamic Link Library (generic) (5.2%)
Generic Win/DOS Executable (1.3%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x402b42
timedatestamp.....: 0x3edf2cf1 (Thu Jun 05 11:43:45 2003)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x7bea 0x8000 6.52 c01fadec01aae81015745dad0ecda107
.rdata 0x9000 0x1dfc 0x2000 5.10 e5217bccc8786d801b7a78bb7cce029c
.data 0xb000 0x1fc8 0x1000 2.67 5ba738a705a45c4209cbffe7469d458a
.rsrc 0xd000 0x3c0 0x1000 0.99 0967ff97890b79a40016a44e82666655

( 3 imports )
> KERNEL32.dll: GetLastError, GetProcessAffinityMask, OpenProcess, Sleep, TerminateProcess, WaitForSingleObject, SetPriorityClass, lstrcmpiA, HeapFree, ResumeThread, SuspendThread, GetVersionExA, WideCharToMultiByte, HeapAlloc, CloseHandle, GlobalFree, GlobalAlloc, FileTimeToSystemTime, SystemTimeToFileTime, GetSystemTime, LocalFree, FormatMessageA, HeapSize, RtlUnwind, LCMapStringW, LCMapStringA, VirtualQuery, GetSystemInfo, SetProcessAffinityMask, LoadLibraryA, GetProcAddress, FreeLibrary, GetProcessHeap, GetCurrentProcess, ExitProcess, GetModuleHandleA, GetCommandLineA, QueryPerformanceCounter, GetTickCount, GetCurrentThreadId, GetCurrentProcessId, GetSystemTimeAsFileTime, GetModuleFileNameA, HeapDestroy, HeapCreate, VirtualFree, VirtualAlloc, HeapReAlloc, WriteFile, GetStdHandle, UnhandledExceptionFilter, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, SetHandleCount, GetFileType, GetStartupInfoA, GetStringTypeA, MultiByteToWideChar, GetStringTypeW, GetACP, GetOEMCP, GetCPInfo, FlushFileBuffers, SetFilePointer, GetLocaleInfoA, VirtualProtect, SetStdHandle
> USER32.dll: CloseDesktop, EnumDesktopWindows, GetWindowThreadProcessId, PostMessageA, OpenDesktopA
> ADVAPI32.dll: LookupAccountSidA, OpenProcessToken, LookupPrivilegeValueA, AdjustTokenPrivileges, GetTokenInformation

( 0 exports )

ThreatExpert info: http://www.threatexpert.com/report.a...b645c0cd428017

Leonixx

Ok, hast einen Trojaner auf dem System.

Lade dir Ccleaner und bereinige das System

Lade dir Malewarebytes und Superantispyware, installieren, updaten, Komplett Scan durchführen, anschließend den Report posten. Beide Programme in den Links in meiner Signatur.

taxi

Ccleaner hatte ich ja schon drauf ..... Reinigung soeben ausgeführt ..
Malwarebytes hatte ich auch schon drauf, hab´s upgedatet und hier nun der Bericht. Den Rest gibt´s gleich.....



Malwarebytes' Anti-Malware 1.31
Datenbank Version: 1497
Windows 5.1.2600 Service Pack 3

13.12.2008 21:12:31
mbam-log-2008-12-13 (21-12-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|G:\|H:\|)
Durchsuchte Objekte: 82145
Laufzeit: 10 minute(s), 29 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

taxi

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 12/13/2008 at 09:53 PM

Application Version : 4.23.1006

Core Rules Database Version : 3674
Trace Rules Database Version: 1653

Scan type : Complete Scan
Total Scan Time : 00:22:58

Memory items scanned : 378
Memory threats detected : 0
Registry items scanned : 6052
Registry threats detected : 0
File items scanned : 16083
File threats detected : 5

Adware.Tracking Cookie
C:\Sandbox\Conny\DefaultBox\user\current\Cookies\c onny@e-2dj6wjl4alajgfp.stats.esomniture[2].txt
C:\Sandbox\Conny\DefaultBox\user\current\Cookies\c onny@e-2dj6whkisiczakq.stats.esomniture[2].txt
C:\Sandbox\Conny\DefaultBox\user\current\Cookies\c onny@e-2dj6wjliagczcdp.stats.esomniture[1].txt
C:\Sandbox\Conny\DefaultBox\user\current\Cookies\c onny@www.googleadservices[1].txt
C:\Sandbox\Conny\DefaultBox\user\current\Cookies\c onny@e-2dj6wjmiomd5kaq.stats.esomniture[2].txt

.................................................. ......................

Habe dann "in Quarantäne stellen" gedrückt. Ich hoffe, daß das richtig war.....

Leonixx

Ok, sehe keine weiteren Hinweise für Infizierung. Hattest nur Cookies drauf. Nichts beunruhigendes. Dein System sollte sauber sein.

Gruss Leonixx

taxi

Dankedankedankedanke !! Da sitzt man hier mit Sorgenfalten und patschsch..... wird einem so professionell geholfen ! Und schon glättet sich wieder alles und die Welt ist in Ordnung.
Schön,daß es dich/euch gibt .....
Eine Frage noch: kann ich das superantispyware drauf lassen? Und sollen die Haken in den Ordneroptionen jetzt so bleiben wie sie sind?
Übrigens erscheint die Warnung wegen der verdächtigen Datei von avast immer noch...... hmmmmm