win32.shark.af???

Diskutiere win32.shark.af??? im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; Hallo Spybot Search and Destroy hat bei mir einen Trojaner gefunden und zwar win32.shark.af und ich weiß jz nicht ob der jz fix weg ist wenn das...

  1. Krasse

    Krasse Erfahrener Benutzer

    Dabei seit:
    29.07.2007
    Beiträge:
    123
    Zustimmungen:
    0
    Hallo

    Spybot Search and Destroy hat bei mir einen Trojaner gefunden und zwar win32.shark.af und ich weiß jz nicht ob der jz fix weg ist wenn das Programm beendet wurde. UNd wie der EInzusufen ist und was ich noch machen könnte??


    Weiters hat Antivir bei den Rootkits über 70 Warnungen angezeigt ist das was bedrohliches, weil so viele hatte ich noch nie...

    lg daniel
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 Leonixx, 07.10.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.905
    Zustimmungen:
    0
    Ort:
    NIX DO
    Dann solltest du unter Quarantäne nachschauen.

    Log von Antivir hier posten.

    Ausserdem noch ein Hijackthis Logfile hier posten.

    Gruss Leonixx
     
  4. Krasse

    Krasse Erfahrener Benutzer

    Dabei seit:
    29.07.2007
    Beiträge:
    123
    Zustimmungen:
    0
    bei Spybot die Quarantäne ist doch wenn ich unter Wiederherstellen nachschaue? oder da ist er auf jeden Fall drinnen, hab aber noch bedenken das er noch irgendwo vorhanden ist!!

    Die logfiles kommen auch gleich!!


    lg
     
  5. Krasse

    Krasse Erfahrener Benutzer

    Dabei seit:
    29.07.2007
    Beiträge:
    123
    Zustimmungen:
    0
    Hallo

    Jz habe ich mal nach Rootkits gesucht und er fand 75 Warnungen, die machen mir Sorgen??? Die meisten sind im Verzeichnis HKEY_user und local machine. Was machen diese Verzeichnisse?

    Der Trojraner wurde auch dort gefunden!!


    hier die logsfiles:

    Code:
    Logfile of HijackThis v1.99.1
    Scan saved at 10:27:38, on 07.10.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16705)
    
    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
    C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
    C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    C:\WINDOWS\system32\rundll32.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe
    C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
    C:\WINDOWS\system32\ctfmon.exe
    D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    D:\Programme\DAEMON Tools\daemon.exe
    C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe
    D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    C:\Programme\Bonjour\mDNSResponder.exe
    D:\Programme\Nero 8\Nero BackItUp\NBService.exe
    C:\WINDOWS\System32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programme\Microsoft SQL Server\90\Shared\sqlwriter.exe
    D:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
    C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexStoreSvr.exe
    D:\Programme\Spybot - Search & Destroy\SpybotSD.exe
    D:\Programme\HijackThis.exe
    
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.wavez.at/[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = [url]http://go.microsoft.com/fwlink/?LinkId=54896[/url]
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://go.microsoft.com/fwlink/?LinkId=69157[/url]
    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [SMSERIAL] C:\Programme\Motorola\SMSERIAL\sm56hlpr.exe
    O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
    O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
    O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
    O4 - HKLM\..\Run: [avgnt] "D:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Nero\Lib\NeroCheck.exe
    O4 - HKLM\..\Run: [NBKeyScan] "D:\Programme\Nero 8\Nero BackItUp\NBKeyScan.exe"
    O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "D:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\Run: [DAEMON Tools] "D:\Programme\DAEMON Tools\daemon.exe" -lang 1033
    O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
    O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: @C:\Programme\Messenger\Msgslang.dll,-61144 - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\programme\bonjour\mdnsnsp.dll
    O11 - Options group: [INTERNATIONAL] International*
    O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - [url]http://support.f-secure.com/ols/fscax.cab[/url]
    O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
    O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe
    O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Programme\Bonjour\mDNSResponder.exe
    O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
    O23 - Service: SQL Server (SQLEXPRESS) (MSSQL$SQLEXPRESS) - Unknown owner - C:\Programme\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe" -sSQLEXPRESS (file missing)
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - D:\Programme\Nero 8\Nero BackItUp\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    
    
    
    Die Antivir datei ist zu groß was soll ich machen?
     
  6. #5 Leonixx, 07.10.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.905
    Zustimmungen:
    0
    Ort:
    NIX DO
    Welcher Rootkit wird denn gemeldet von Antivir?

    Erstmal mit Ccleaner System reinigen.

    Lade Malewarebytes (link in meiner Signatur) ausführen, updaten, Komplett Scan, Report posten.

    Combofix laden und wie im Link in meiner Signatur beschrieben ausführen. Anschließend den Report posten.

    Blacklight laden und System scannen.

    http://www.pcwelt.de/downloads/datenschutz/sicherheit/128506/f_secure_blacklight/
     
  7. Krasse

    Krasse Erfahrener Benutzer

    Dabei seit:
    29.07.2007
    Beiträge:
    123
    Zustimmungen:
    0
    Keine Ahnung es sind nur Warnungen!!
    Maleware habe ich schon länger am PC aber da findet er nichts!

    Weisst du für das HKEY_local machine und user ist?
    Ich werde dann aber trotzdem noch mal alles machen was du aufgeschrieben hast! Sollte ich es im abgesicherten modus machen? halt nur den scan

    Ist das logfile von Hjickthis sauber? Meinst du sollte ich die Passwörter ändern?

    Hier das ligfile von Antivir: http://rapidshare.com/files/151731504/AVSCAN-20081007-093230-0F84110C.LOG.html

    lg
     
  8. #7 Leonixx, 07.10.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.905
    Zustimmungen:
    0
    Ort:
    NIX DO
    Diese Hkey local machine und user sind in der Registry, sozusagen die Schaltzentrale. Hier sind Schlüssel und verschiedene Werte hinterlegt. Wenn sich ein Rootkit in die Registry einschleust, dann kann er das komplette System übernehmen.

    Das HJT Logfile ist sauber, was aber noch gar nichts bedeutet. HJT ist eigentlich nur ein erster Anhaltspunkt, was auf dem System los sein könnte.

    Wenn ein Backdoortrojaner auf dem System war/ist, auf jeden Fall die Passwörter ändern.

    Avira schaue ich mir später an.
     
  9. #8 Leonixx, 07.10.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.905
    Zustimmungen:
    0
    Ort:
    NIX DO
    So, mache jetzt mal einen Doppelpost. Kein Wunder das du Avira nicht posten konntest. Dies ist der Gesamtbericht welche Dateien durchsucht wurden. Klicke mal unter Ereignisse und Warnungen, ob die betreffenden Dateien angezeigt werden. Ansonsten kann ich nichts ungewöhnliches im Logfile entdecken.
     
  10. Krasse

    Krasse Erfahrener Benutzer

    Dabei seit:
    29.07.2007
    Beiträge:
    123
    Zustimmungen:
    0
    komisch nur Warnungen alleine zeigt er mir keine Einzige an...?!

    Malware logfile:

    Code:
    Malwarebytes' Anti-Malware 1.28
    Datenbank Version: 1232
    Windows 5.1.2600 Service Pack 2
    
    06.10.2008 13:43:38
    mbam-log-2008-10-06 (13-43-38).txt
    
    Scan-Methode: Vollständiger Scan (C:\|D:\|)
    Durchsuchte Objekte: 171185
    Laufzeit: 1 hour(s), 17 minute(s), 14 second(s)
    
    Infizierte Speicherprozesse: 0
    Infizierte Speichermodule: 0
    Infizierte Registrierungsschlüssel: 0
    Infizierte Registrierungswerte: 0
    Infizierte Dateiobjekte der Registrierung: 0
    Infizierte Verzeichnisse: 0
    Infizierte Dateien: 0
    
    Infizierte Speicherprozesse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Speichermodule:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungsschlüssel:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Registrierungswerte:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateiobjekte der Registrierung:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Verzeichnisse:
    (Keine bösartigen Objekte gefunden)
    
    Infizierte Dateien:
    (Keine bösartigen Objekte gefunden)
    
     
  11. #10 Leonixx, 08.10.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.905
    Zustimmungen:
    0
    Ort:
    NIX DO
    Hast du mit Blacklight gescannt? So wie es aussieht hast du keinen Rootkit auf dem System. Verschiedene Rootkit-Scanner zeigen auch oft Einträge von Microsoft als Rootkit an, da diese typische Erkennungsmuster haben.
     
  12. Krasse

    Krasse Erfahrener Benutzer

    Dabei seit:
    29.07.2007
    Beiträge:
    123
    Zustimmungen:
    0
    Code:
    10/08/08 11:02:58 [Info]: BlackLight Engine 2.2.1092 initialized
    10/08/08 11:02:58 [Info]: OS: 5.1 build 2600 (Service Pack 2)
    10/08/08 11:02:58 [Note]: 7019 4
    10/08/08 11:02:58 [Note]: 7005 0
    10/08/08 11:03:04 [Note]: 7006 0
    10/08/08 11:03:04 [Note]: 7011 2400
    10/08/08 11:03:04 [Note]: 7035 0
    10/08/08 11:03:05 [Note]: 7026 0
    10/08/08 11:03:05 [Note]: 7026 0
    10/08/08 11:03:08 [Note]: FSRAW library version 1.7.1024
    10/08/08 11:11:06 [Note]: 7007 0
    
    jz fehlt nur noch combofix!
     
  13. Krasse

    Krasse Erfahrener Benutzer

    Dabei seit:
    29.07.2007
    Beiträge:
    123
    Zustimmungen:
    0
    Hier im Anhang das Combofix logfile..
     

    Anhänge:

    • log.rar
      Dateigröße:
      36,1 KB
      Aufrufe:
      49
  14. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  15. #13 Leonixx, 08.10.2008
    Leonixx

    Leonixx
    Moderator

    Dabei seit:
    17.10.2007
    Beiträge:
    18.905
    Zustimmungen:
    0
    Ort:
    NIX DO
    Ok, Combofix zeigt für mich auch nichts auffälliges. Dein System sollte sauber sein.

    Gruss Leonixx
     
  16. Krasse

    Krasse Erfahrener Benutzer

    Dabei seit:
    29.07.2007
    Beiträge:
    123
    Zustimmungen:
    0
    okay, Vielen Dank für deine Mühe...
     
Thema: win32.shark.af???
Besucher kamen mit folgenden Suchen
  1. win32 shark.af

    ,
  2. spybot search and destroy quarantäne wiederherstellen passwort

Die Seite wird geladen...

win32.shark.af??? - Ähnliche Themen

  1. Win32.Trojan.Agent erkannt

    Win32.Trojan.Agent erkannt: Guten Abend! Auf meinem Laptop hat das programm "Ad-Aware (Free ?) (Internet Security ?)" das gefunden: Ein schädliches Objekt eines hohen...
  2. Infektion mit: win32:whenu-h, malware.gen

    Infektion mit: win32:whenu-h, malware.gen: Hallo zusammen Ich denke alles ist wieder in Ordnung. Kann trotzdem einer meine Logfiles kurz checken. Vorgeschichte: 1. heute Computer...
  3. keine zulässige win32-anwendung !?

    keine zulässige win32-anwendung !?: hallo ich ahbe ein problem ich habe einen windows 7 cd key aber kine cd also hab ich es mir einfach runtergeladen udn wenn ich jetzt auf das...
  4. Win32/candy ô.ò

    Win32/candy ô.ò: WIN32/CANDY--> Was ist das ?
  5. Keine zulässige Win32 Anwendung!?

    Keine zulässige Win32 Anwendung!?: HeeeY Ich brauche Hilfe also ich habe win7 64bit original aber wenn ich es Installieren komm da immer keine zuverlässige win32 Anwendung...