Hijack Log - Probleme mit Horst.GV, Trojaner setup.exe |
Willkommen, Gast ( Anmelden | Registrierung )
Hijack Log - Probleme mit Horst.GV, Trojaner setup.exe |
29.01.2007, 14:04
Beitrag
#1
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 3 Mitglied seit: 29.01.2007 Mitglieds-Nr.: 5.779 |
Sers,
habe folgendes problem: seit ca ner woche kommt ständig die meldung von meinem virenscanner (avast) dass ein trojaner in folgender datei auftritt H:/Downloads/_Videos/setup.exe/[UPX] Leider taucht er immer und immer wieder auf. Habs mit Tiefenscans (avast) und Onlinescans (trendmicro) probiert etc., hilft aber alles nix, kommt immer wieder. Leider konnte ich auch in meinen prozessen nix auffälliges finden. ich poste jetzt hier mal mein hijack file, vielleicht kann ja einer von euch helfen. btw, hab wirklich kaum ahnung von solchen sachen, also bitte eure lösungen verständlich erklären thx schonmal PS: uh, hätte ich fast vergessen, ich sitz hier zuhause im wohnheim in nem lan mit so ca 15 leuten, bei denen die setup.exe auch schon aufgetreten ist (bei 3 zumindest). bräuchte also auch ne massentaugliche lösung, will ja nicht alle 15 rechner neuinstallieren müssen. Logfile of HijackThis v1.99.1 Scan saved at 13:50:59, on 29.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\Explorer.EXE C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\WINDOWS\system32\nvraidservice.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\VDOTool\TBPanel.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\wbem\unsecapp.exe E:\ICQLite\ICQLite.exe C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe C:\Programme\Lexmark X5100 Series\lxbabmgr.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Lexmark X5100 Series\lxbabmon.exe E:\Acrobat Pro\Distillr\Acrotray.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe E:\PowerDVD\PDVDServ.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\FreePDF_XP\fpassist.exe E:\Quicktime\qttask.exe E:\Spamfighter\SFAgent.exe E:\RMClock\RMClock.exe E:\Firefox\firefox.exe C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe C:\WINDOWS\regedit.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.437\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.50.1:3128 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Acrobat Pro\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [NVRaidService] C:\WINDOWS\system32\nvraidservice.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Gainward] C:\Programme\VDOTool\TBPanel.exe /A O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ICQ Lite] "E:\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe" O4 - HKLM\..\Run: [Lexmark X5100 Series] "C:\Programme\Lexmark X5100 Series\lxbabmgr.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "E:\Acrobat Pro\Distillr\Acrotray.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [RemoteControl] E:\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\Quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SPAMfighter Agent] "E:\Spamfighter\SFAgent.exe" update delay 60 O4 - HKCU\..\Run: [RMClock] E:\RMClock\RMClock.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://E:\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://E:\Acrobat Pro\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1154633282078 O17 - HKLM\System\CCS\Services\Tcpip\..\{30BCF051-2E5E-4006-9620-3446FDBA68FC}: NameServer = 132.230.200.201,132.230.200.200 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe Der Beitrag wurde von Ritus bearbeitet: 29.01.2007, 14:06 |
|
|
29.01.2007, 14:07
Beitrag
#2
|
|
AV-Spezialist Gruppe: Mitarbeiter Beiträge: 2.935 Mitglied seit: 27.04.2003 Wohnort: Nordhorn Mitglieds-Nr.: 59 |
Mache mit der Datei bitte einen Kontrollscan bei http://www.virustotal.com/en/indexf.html und sag, wer in der Datei nochetwas findet, oder auch nicht findet.
-------------------- MfG Ralf
|
|
|
Gast_rock_* |
29.01.2007, 15:06
Beitrag
#3
|
Gäste |
ZITAT(Ritus @ 29.01.2007, 14:03) [snapback]183823[/snapback] habe folgendes problem: seit ca ner woche kommt ständig die meldung von meinem virenscanner (avast) dass ein trojaner in folgender datei auftritt H:/Downloads/_Videos/setup.exe/[UPX] ohne jetzt näher auf den log einzugehen... probiere es mit löschen (sofern malware) im abgesicherten modus? Ordner steht da, Unterordner, UND datei steht da. Der Beitrag wurde von rock bearbeitet: 29.01.2007, 15:06 |
|
|
29.01.2007, 17:12
Beitrag
#4
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 3 Mitglied seit: 29.01.2007 Mitglieds-Nr.: 5.779 |
ja löschen ist durchaus möglich, aber die datei kommt nach ner weile einfach wieder. ohne dass ich irgendetwas machen kann.
|
|
|
Gast_rock_* |
29.01.2007, 17:44
Beitrag
#5
|
Gäste |
auch wenn du die datei im abgesicherten modus gelöscht hast? was ergab der checkvvon raman verlinkt?
lade dir das kleine tool ccleaner runter. www.ccleaner.com starte den pc in den abgesicherten modus und führe es aus - gleich in den voreinstellugnen wie es ist auf löschen klicken, ..analysieren kannst du dir sparen in dem fall. dann links auf den button PROBLEME...ebenso löschen oder eben da suchen lassen. dann löschen/aufräumen. Ordner DOWNLOADS klingt nach Shareaza oder andere tauschbörse. Wenn es Shareaza ist schau ob da nicht was im ordner GHOST ist (im programm), also wo sich gelöschte oder kommentierte daten befinden. (sofern eingestellt gewesen) alles rauslöschen! papierkorb leeren. dann wieder in den normal modus starten... Der Beitrag wurde von rock bearbeitet: 29.01.2007, 17:44 |
|
|
29.01.2007, 20:21
Beitrag
#6
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 3 Mitglied seit: 29.01.2007 Mitglieds-Nr.: 5.779 |
so, hier mal die resultate von VirusTotal:
AntiVir 7.3.0.32 01.29.2007 TR/Dldr.Agent.aii.51 Authentium 4.93.8 01.26.2007 no virus found Avast 4.7.936.0 01.29.2007 Win32:Horst-GV AVG 386 01.29.2007 no virus found BitDefender 7.2 01.29.2007 no virus found CAT-QuickHeal 9.00 01.29.2007 no virus found ClamAV devel-20060426 01.29.2007 no virus found DrWeb 4.33 01.29.2007 Trojan.DownLoader.17576 eSafe 7.0.14.0 01.28.2007 suspicious Trojan/Worm eTrust-InoculateIT 23.73.127 01.29.2007 no virus found eTrust-Vet 30.3.3358 01.29.2007 no virus found Ewido 4.0 01.29.2007 Downloader.Agent.aii Fortinet 2.85.0.0 01.29.2007 BDoor.CMQ!tr.bdr F-Prot 4.2.1.29 01.26.2007 no virus found Ikarus T3.1.0.27 01.29.2007 no virus found Kaspersky 4.0.2.24 01.29.2007 Trojan-Downloader.Win32.Agent.aii McAfee 4951 01.29.2007 BackDoor-CMQ Microsoft 1.2101 01.29.2007 no virus found NOD32v2 2017 01.29.2007 Win32/Medbot.GB Norman 5.80.02 01.29.2007 W32/Horst.gen20 Panda 9.0.0.4 01.29.2007 Suspicious file Prevx1 V2 01.29.2007 no virus found Sophos 4.13.0 01.28.2007 Mal/Behav-080 Sunbelt 2.2.907.0 01.26.2007 no virus found Symantec 10 01.29.2007 no virus found TheHacker 6.0.3.159 01.28.2007 no virus found UNA 1.83 01.29.2007 no virus found VBA32 3.11.2 01.29.2007 suspected of Trojan-Proxy.Horst.170 (paranoid heuristics) VirusBuster 4.3.19:9 01.29.2007 Trojan.DL.Agent.RWN Hab jetzt übrigens folgendes herausgefunden: Die setup.exe kommt immer wieder (auch wenn ich sie im abgesicherten modus lösche), und zwar weil ich ausversehen auf den bestimmten download ordner (übrigens kein shareaza) schreibrechte innerhalb des LAN-Netzwerkes vergeben hatte. Hab das jetzt umgestellt, seitdem kommt nix mehr :-) Das heißt imho, dass ein anderer Rechner im Lan der Verursacher sein muss. Hab die leute mal per mail angeschrieben, dass sie alle nen virenscan über ihr system laufen lassen sollen. Mal sehn ob sich jemand meldet. |
|
|
Vereinfachte Darstellung | Aktuelles Datum: 27.05.2024, 00:29 |