8 Trojaner an Bord *heul*

Diskutiere 8 Trojaner an Bord *heul* im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Erst mal einen schönen Sonntag Morgen, bei meinem Wöchentlichen Suchlauf mit Avast wurden eben gerade 8 Trojaner mit dem Namen...

  1. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Erst mal einen schönen Sonntag Morgen,

    bei meinem Wöchentlichen Suchlauf mit Avast wurden eben gerade 8 Trojaner mit dem Namen "Win32:Ardamax-EL[Trj]" gefunden. Ich poste gleich ein Hijackthis-Logfile (so heisst das doch?) mit. Lasse jetzt Spybot noch mal mit durchlaufen und hoffe auf Antwort und Hilfe.

    Danke hexe

    Logfile of HijackThis v1.99.1
    Scan saved at 11:34:29, on 18.11.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
    C:\Programme\QuickTime\QTTask.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\SiteAdvisor\6172\SAService.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\MSN Messenger\msnmsgr.exe
    C:\Programme\MSN Messenger\usnsvc.exe
    C:\Programme\SiteAdvisor\6172\SiteAdv.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Alwil Software\Avast4\ashSimpl.exe
    C:\Programme\Internet Explorer\IEXPLORE.EXE
    C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\DOKUME~1\Susi\LOKALE~1\Temp\Rar$EX00.593\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6066\SiteAdv.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
    O4 - Startup: Microsoft Office Outlook 2007 (2).lnk = ?
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1182958806937
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6172\SAService.exe
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Ach ja, die Trojaner wurden in den Datein

    C: Windows Installer
    C: Microsoft/Office/Office12 2x
    C: SystemVolumenInformation 4x
    C: MSOCache/alluser

    gefunden. Ich hab jetzt nicht den ganzen Pfad angebeben, hoffe das reicht auch so

    hexe
     
  4. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Hallo

    Spybot ist durchgelaufen und hat nix gefunden, also keine Trojaner. Hat nur die üblichen Cookies gefunden.

    Probiers jetzt mal mit nem Online-Scanner bis sich jemand meldet.

    hexe
     
  5. #4 ReinMan, 18.11.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE

    Der ist nicht gefährlich aber unnötig laut Hijackthis.de

    Und die Datei ist eventuell schädlich da sie sonst in einem anderen Ordner läuft prüfe die Datei mal gezielt mit Avast.

    C:\Programme\********* Bytes\VirtualCloneDrive\VCDDaemon.exe

    Ansonsten checke nochmal mit Adaware nach das ist besser und gezielter auf Spyware und Adware als Spybot.

    http://www.chip.de/downloads/c1_downloads_13000824.html
     
  6. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Guten Morgen ReinMan,

    werd jetzt Adaware installiern und mit Avast die Datei prüfen.

    Muss ich für einen Online Scanner z. B Kapersky denn mein Avast abschalten. 2 Antivirusprogramme und so? Und kann ich mit der kostenlosen Version denn auch evt. gefunde Viren löschen? Empfiehlst du mir einen Online-Scanner? Und sind die Viren nach der Löschung tatsächlich weg?

    Oje du Armer, Fragen über Fragen.

    Danke hexe
     
  7. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Ich kann die Datei

    C:\Programme\********* Bytes\VirtualCloneDrive\VCDDaemon.exe

    unter Programme net finden. Habe die versteckten Ordner bereits eingeblendet.

    Für ganz blöde, ich gehe auf Arbeitsplatz, Laufwerk C, Programme??
     
  8. #7 ReinMan, 18.11.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Kein Problem Hexe dafür sind wir ja da,

    Also ich kann dir www.virtustotal.com empfehlen das ist ein Onlinescanne wo du Dateien hochladen kannst von denen du nicht weißt ob sie verseucht sind oder nicht. Ansonsten kannst du Kasper ruhig anlassen beim scannen. Mit der kostenlosen kannst du natürlich alles löschen was Adaware findet. Nach der löschung müssen sie nicht weg sein manche graben sich tief ins System das dauert dann ein wenig bis sie vollständig weg sind.

    Start>suchen tippe dort mal den Namen ein von dem Ordner dort sollte auch der Pfad angezeigt werden.
     
  9. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    So, Adaware is durchgelaufen. Hat Cookies und MRU (?) Objekte gefunden. Die hab ich alle gelöscht.

    Das mit der Suche (hab VCDDaemon.exe eingeben) hab ich gemacht. Da hab ich dann 2 VCDDaemon Datein. Einen im

    C:Windows\Prefetch VCDDAEMON.EXE-3A554CA2.pf
    und den anderen
    C:programme\ElaborateBytes\VirtualCloneDrive VCDDaemon
    Welche is es nun?

    hexe
     
  10. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Hey die Sternchen hab ich net eingebeben. Also die bei der 2ten Datei. Das sind keine Sternchen bei mir, sondern ein Wort. Elaborate. Mal sehen, ob wieder die Sternchen dabei rauskommen.
     
  11. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Na damit weiss ich ja, welche, welche is. HiHi

    hexe
     
  12. #11 ReinMan, 18.11.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    C/Programme\*********Bytes\VirtualCloneDrive VCDDaemon

    Die Datei ist es. Hast du Spybot auch schon durchlaufen lassen und nochmal einen kompletten Scan gemacht mit deinem Antivirenprogramm ?? ich bitte dich deine Posts zu "editieren" mit dem "Ändern" Button..Doppel/Dreifachposts sind hier nicht gern gesehen
     
  13. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Hallo hexe,


    im Logfile kann ich soweit nichts erkennen.
    Mach erstma den Kaspersky Onlinescan und poste uns dann ggf. die Funde.
    Bennene außerdem die hijackthis exe im Ordner in ABC um , dann lässt du Hijackthis nochmals durchlaufen.Speicher dir das Logfile und lass es ma provisorisch auf www.hijackthis.de auswerten,falls da irgendwas markiert ist poste das Logfile ins Forum.

    Downloade dir außerdem ma Ewido:

    http://www.ewido.net/de/download/
    *Starte das Programm
    *Führe ein Update aus
    *Lass das Programm durchlaufen
    *Nach dem Scan entferne die Funde
    *Falls das Programm etwas findet , teile uns dies bitte mit (Namen der Malware)


    Mfg
     
  14. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    O.K habe mir Ewido runtergeladen und scanne gerade mein System.
    Muss ich für den Kaspersky Onlinescan mein Virussystem deaktivieren? Wegen 2. Antivirenprogrammen meine ich?

    Wollt mich entschuldigen wegen der vielen Posts. War net meine Absicht, da irgendwelchen nicht ernst gemeinten Fragen oder Beiträge zu verfassen um in der Punkteverteilung zu steigen. Ich geh doch mal davon aus, das es darum ging. Also Sorry, passiert net noch mal, editiere deshalb diesen Beitrag gleich und meld mich, wenn die Scanns abgeschlossen sind. Also Sorry nochmal.

    hexe
     
  15. #14 ReinMan, 18.11.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Kein Problem schön das du das einsiehst,

    Nein kannst Kasper ruhig anlassen ist ja nen Onlinescanner und kein Tool was du dir laden musst. Die beiden "behindern" sich nicht. Ewido kann ich dir auch empfehlen habs mir grad geladen und tut seinen Dienst gut.
     
  16. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    So da bin ich wieder, leider wurde ich unterbrochen. Habe aber Ewido runtergeladen und durchlaufen lassen. Hat ganz viele Tracking Cookies gefunden, das beunruhigt mich ja nicht wirklich. Aber es wurde auch noch ein Backdoor.Hupigon gefunden. Den habe ich gelöscht. Er wurde in einem Odner gefunden, wo ich Software (Nero) von einer guten Bekannten gespeichert hatte. Jedoch nie installiert habe. Jetzt weiss ich zufällig, das es auf nicht legale Weise runtergeladen wurde. Ich habe den Ganzen Ordner gelöscht.
    Kann es sein, dass sich dieser Backdoor schon seit Ewigkeiten da befunden hat? Und das es sich weiter ausgebreitet hat?

    Was ist denn jetzt das gescheiteste? Ich lasse jetzt den onlinescann durchlaufen.
    Melde mich wieder.

    Danke hexe
     
  17. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Habe den Online-Scan gemacht und es wurde Exploid.Java.Grimsha gefunden. Da ich die Datei nicht über den Online Scanner löschen konnte, habe ich sie bei Virustotal hochgeladen. Hier das Ergebniss:

    AhnLab-V3 2007.11.17.0 2007.11.16 -
    AntiVir 7.6.0.34 2007.11.16 EXP/Java.Gimsh.A.20
    Authentium 4.93.8 2007.11.17 is a destructive program
    Avast 4.7.1074.0 2007.11.18 -
    AVG 7.5.0.503 2007.11.18 -
    BitDefender 7.2 2007.11.18 Trojan.Exploit.Java.Gimsh.A
    CAT-QuickHeal 9.00 2007.11.17 -
    ClamAV 0.91.2 2007.11.18 -
    DrWeb 4.44.0.09170 2007.11.18 -
    eSafe 7.0.15.0 2007.11.14 -
    eTrust-Vet 31.2.5304 2007.11.17 Java/Figfub!exploit
    Ewido 4.0 2007.11.18 -
    FileAdvisor 1 2007.11.18 -
    Fortinet 3.11.0.0 2007.11.18 Java/Gimsh.A!exploit
    F-Prot 4.4.2.54 2007.11.18 Java/Trojan!43d9
    F-Secure 6.70.13030.0 2007.11.17 Exploit.Java.Gimsh.a
    Ikarus T3.1.1.12 2007.11.18 Exploit.Java.Gimsh.a
    Kaspersky 7.0.0.125 2007.11.18 Exploit.Java.Gimsh.a
    McAfee 5165 2007.11.16 Downloader-BCS.demo
    Microsoft 1.3007 2007.11.18 -
    NOD32v2 2665 2007.11.17 Java/Exploit.Gimsh.A
    Norman 5.80.02 2007.11.16 -
    Panda 9.0.0.4 2007.11.18 Exploit/Gimsh.A
    Prevx1 V2 2007.11.18 -
    Rising 20.18.61.00 2007.11.18 Hack.Exploit.JAVA.JGif.b
    Sophos 4.23.0 2007.11.18 Troj/Dloadr-AYQ
    Sunbelt 2.2.907.0 2007.11.17 Exploit.java.gimsh.a
    Symantec 10 2007.11.18 Downloader
    TheHacker 6.2.9.133 2007.11.17 -
    VBA32 3.12.2.5 2007.11.16 -
    VirusBuster 4.3.26:9 2007.11.18 Exploit.Java.Gimsh.A
    Webwasher-Gateway 6.0.1 2007.11.18 Exploit.Java.Gimsh.A.20

    Ich hänge auch gleich ein HijackThis an

    Logfile of HijackThis v1.99.1
    Scan saved at 19:36:42, on 18.11.2007
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16544)

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    C:\Programme\Alwil Software\Avast4\ashServ.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Programme\SiteAdvisor\6172\SAService.exe
    C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
    C:\Programme\Alwil Software\Avast4\ashWebSv.exe
    C:\Programme\iPod\bin\iPodService.exe
    C:\Programme\MSN Messenger\usnsvc.exe
    C:\WINDOWS\system32\Ati2evxx.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\SOUNDMAN.EXE
    C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe
    C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
    C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
    C:\Programme\QuickTime\QTTask.exe
    C:\Programme\iTunes\iTunesHelper.exe
    C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\SiteAdvisor\6172\SiteAdv.exe
    C:\Programme\WinRAR\WinRAR.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\DOKUME~1\Susi\LOKALE~1\Temp\Rar$EX14.015\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ig
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
    O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
    O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
    O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
    O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
    O4 - HKLM\..\Run: [VirtualCloneDrive] "C:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s
    O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
    O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
    O4 - HKLM\..\Run: [SiteAdvisor] C:\Programme\SiteAdvisor\6066\SiteAdv.exe
    O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
    O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
    O4 - Startup: Microsoft Office Outlook 2007 (2).lnk = ?
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
    O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/mic...ls/en/x86/client/muweb_site.cab?1182958806937
    O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
    O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
    O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Programme\SiteAdvisor\6172\SiteAdv.dll
    O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\PROGRA~1\GEMEIN~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
    O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
    O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
    O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
    O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
    O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
    O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
    O23 - Service: SiteAdvisor-Dienst (SiteAdvisor Service) - Unknown owner - C:\Programme\SiteAdvisor\6172\SAService.exe

    Der Suchlauf mit AVAST hatte noch mal 2 Viren ergeben.

    Hoffe auf Antwort von Euch. Bis dann hexe
     
  18. mfsto

    mfsto Erfahrener Benutzer

    Dabei seit:
    15.04.2007
    Beiträge:
    372
    Zustimmungen:
    0
    Unter welchem Pfad wurden die Viren gefunden?


    Wo wurde Exploid.Java.Grimsha gefunden?
    Trifft folgender Pfad vielleicht zu:
    C:\Dokumente und Einstellungen\...\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\file\XXX

    ?

    Ich zitier ma folgendes aus einem anderen Forum:

    Lösch die Datei einfach manuell.Im Hijackthis Logfile ist nichts zu erkennen.
    Folgendes findet sich über den ,von Ewido gefundenen, Virus:
    BDS/Hupigon
    Backdoor=gar nicht gut ..
    Vielleicht war es auch nur ein Fehlalarm, weil Kaspersle und Avast haben nichts derartiges gefunden,oder?
    Leider können wir die Datei nicht genauer untersuchen ,da sie ja laut Ewido gelöscht wurde.


    Schau jetzt erstma nach den Pfaden der zwei Viren und dann sehen wir weiter.



    Mfg
     
  19. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Hallo mfsto,

    Du hast Recht die Viren wurden unter dem Pfad
    C: Dokumente und Einstellungen/Tomas/Anwendungsdaten/Sun/Java/Deployment/Cache/6.0/28/8d22ddc-28c9face
    gefunden.
    Ich hab auch schon nachgeschaut, ob mein Java auf dem aktuellsten Stand ist. Das letzte Update fand am 02.11 statt und ist aktuell.
    Kann ich die Datei, wo sich der Exploid.Java.Grimsha befindet einfach löschen?

    Zu dem Backdoor. Nein Kaspersy und Avast haben den nicht gefunden. Ich hab den ganzen Ordner gelöscht, wo der drin war. Ich konnte mit den Programmen eh nix anfangen. Ich weiss jetzt nur nicht, ob der sich ausgebreitet hatte, weil ich die Sachen die ganze Zeit aufm Rechner hatte.

    Liebe Grüße hexe
     
  20. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  21. #19 ReinMan, 18.11.2007
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    Also du hast nen Onlinescan gemacht? mit Spybot und Adaware nachgeprüft ?? Ewido nachgeprüft ? Kasper und Avast komplett Scannen lassen ?? wobei ich sagen muss 2 Antivirenprogramme sind nicht gut sie behindern sich nur gegenseitig. Man sollte nur 1 verwenden. Wobei ich Kasper bevorzuge. Ansonsten wenn du sicher bist das er sich nicht mehr auf der HDD befindet bist du ihm los. Wenn noch eine Meldung kommt müssen wir genauer vorgehen. Denn ein paar Möglichkeiten können wir ja schonmal ausschließen
     
  22. hexe

    hexe Erfahrener Benutzer

    Dabei seit:
    25.04.2007
    Beiträge:
    166
    Zustimmungen:
    0
    Ich muss mich noch mal berichtigen. Der Expoid.Java.Grishma wurde nicht von Avast gefunden. Der wurde vom Online Scanner gefunden.

    Avast hatte Ardamax.EL in
    C:\Systeme Volumen Information-restore{ 1101AA63-ABEB-4C6CA623-76CD12498B8C} RP133\A0046912.msi"file

    und genau das selbe noch mal nur mit der Endung

    \A0046913.exe"file

    Sorry, war mein Lesefehler

    hexe
     
Thema: 8 Trojaner an Bord *heul*
Besucher kamen mit folgenden Suchen
  1. trojaner HEUL

    ,
  2. der virus downloader bcs

Die Seite wird geladen...

8 Trojaner an Bord *heul* - Ähnliche Themen

  1. Windows 8/10 auf Fujitsu Siemens Amilo li 317

    Windows 8/10 auf Fujitsu Siemens Amilo li 317: Hallo, Weisst jemand ob eine Windows Version, ab sieben, bei einem Fujitsu Siemens Amilo li 317 laufen kann? Danke!
  2. hab mir vor 8 Jahren ein Canon LBP3010 gekauft, die braucht nun eine neue Patrone

    hab mir vor 8 Jahren ein Canon LBP3010 gekauft, die braucht nun eine neue Patrone: hey, hab mir vor 8 Jahren ein Canon LBP3010 gekauft, die braucht nun eine neue Patrone, ich wollte euch mal gerne um Beratung bitten , soll ich...
  3. Trojaner weg trotz windows.old-Ordner nach Neuinstallation von Windows?

    Trojaner weg trotz windows.old-Ordner nach Neuinstallation von Windows?: Hi, kann ein Trojaner die Neuinstallation von Windows 7 überleben wenn man den Windows.old-Ordner behalten hat? mfg
  4. Win 8 OEM - Umzug auf SSD

    Win 8 OEM - Umzug auf SSD: Liebes Forum, Ich bin im Besitz eines Samsung ATIV Book 8 und möchte gerne die vorhandene (defekte) interne HDD gegen eine SSD austauschen. Gibt...
  5. Vorsicht vor Windows 10: Was Nutzer von Windows 7 & 8 verlieren

    Vorsicht vor Windows 10: Was Nutzer von Windows 7 & 8 verlieren: http://www.chip.de/news/Vorsicht-vor-Windows-10-Was-Nutzer-von-Windows-7-8-verlieren_79654812.html