Wurm / Trojaner ?

Dieses Thema im Forum "Sicherheit & Datenschutz" wurde erstellt von druideandi, 29. Juni 2009 .

Schlagworte:
  1. 29. Juni 2009
    Zuletzt von einem Moderator bearbeitet: 14. April 2017
    Hallo
    hab seit 3-4 Tagen ein dickes Prob.

    Unzwar meldet kaspersky (8.0.0.454) immer irgendwelche mögl. Trojaner die aus zahlen bestehen z.b. 816.exe oder 432.exe . Immer unterschiedliche Zahlen .

    Ich weiß net was des ist , die exe is immer im /User/XXX/Lokale Einstellung/Temp ordner drin und auch eine verdächtige datei names vhost32.exe

    Hab mal zwei meldungen von kaspersky geuppt, aber wie gesagt sind immer unterscheidliche Zahlen.

    Bild




    Hijack this:



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 20:51:50, on 29.06.2009
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v7.00 (7.00.6000.16850)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\LEXBCES.EXE
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\system32\LEXPPS.EXE
    D:\Tools\Kaspersky 2009\avp.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\WINDOWS\system32\PnkBstrA.exe
    C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\UAService7.exe
    D:\Tools\AlienGUIse\wbload.exe
    C:\WINDOWS\Explorer.EXE
    D:\Tools\Kaspersky 2009\avp.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\DOKUME~1\Andi\LOKALE~1\Temp\vhost32.exe
    D:\Tools\QIP\qip.exe
    D:\Tools\Xfire\Xfire.exe
    D:\Tools\teamspeak2_RC2\InvisibleSpeak.exe
    D:\Games\Valve Games\Steam.exe
    C:\Dokumente und Einstellungen\Andi\Desktop\Alltägliche Tools\gapa.exe
    D:\Tools\Mozilla1.7.2\FIREFOX\Mozilla Firefox\firefox.exe
    C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = Bing
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = Bing
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = MSN NL: Hotmail, Outlook, Skype, het laatste nieuws, entertainment en meer!
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe, C:\DOKUME~1\Andi\LOKALE~1\Temp\vhost32.exe
    O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
    O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - D:\Tools\GetRight\xx2gr.dll
    O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Tools\Kaspersky 2009\ievkbd.dll
    O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - D:\Tools\Veoh\Plugins\reg\VeohToolbar.dll
    O3 - Toolbar: &TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - D:\Tools\TERRAT~1\THCDES~1.DLL
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [AVP] "D:\Tools\Kaspersky 2009\avp.exe"
    O4 - HKLM\..\Run: [TerraTec Remote Control] "C:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTVRC.exe"
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: Download with GetRight - D:\Tools\GetRight\GRdownload.htm
    O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
    O8 - Extra context menu item: Open with GetRight Browser - D:\Tools\GetRight\GRbrowse.htm
    O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Tools\Kaspersky 2009\SCIEPlgn.dll
    O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)
    O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Games\PartyPoker\PartyPoker\RunApp.exe (file missing)
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Tools\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
    O20 - AppInit_DLLs: wbsys.dll,D:\Tools\KASPER~1\mzvkbd.dll,D:\Tools\KASPER~1\mzvkbd3.dll
    O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
    O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Tools\Kaspersky 2009\avp.exe
    O23 - Service: Boonty Games - BOONTY - C:\Programme\Gemeinsame Dateien\BOONTY Shared\Service\Boonty.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
    O23 - Service: MSCSPTISRV - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\MSCSPTISRV.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\PACSPTISVR.exe
    O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
    O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
    O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\SPTISRV.exe
    O23 - Service: UPnPService - Magix AG - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe
    O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

    --
    End of file - 6981 bytes
     
  2. 29. Juni 2009
    AW: Fettes Problem mit Wurm ?

    Diese vhost läuft anscheinend auch als Prozess... kannst du die mit dem Taskmanager killen?
     
  3. 29. Juni 2009
    AW: Fettes Problem mit Wurm ?

    ja killen geht.
    lösche auch die exe ausm temp ordner aber wenn ich pc reboote , dann kommt wiedr irgend Zahl.exe und der vhost32.exe is wieder im temp und startet.
     
  4. 29. Juni 2009
    AW: Fettes Problem mit Wurm ?

    kannst ja mal mit gmer checken -> GMER - Rootkit Detector and Remover

    das findet einige rootkits und du kannst auch mal services, autostart etc. überprüfen
     
  5. 30. Juni 2009
    AW: Fettes Problem mit Wurm ?

    ok habs mal geladen. aber weiß net genau nach was ich gucken soll. in services ist der vhost net aufgelistet.
     
  6. 30. Juni 2009
    AW: Wurm / Trojaner ?

    lade dir mal spybot und destory von chip.de z.b. runter. und scanne damit.
    ansonsten sieht es mir nach nem fun virus aus der immer mehr datein erzeugt ich hatte mal so nen generator war zum killen der festplatte weil die platte total überflutet wird.
     
  7. 30. Juni 2009
    AW: Wurm / Trojaner ?

    also danke für eure beiträge , bw is raus .
    spybot hat 148 sachen gefunden (meißt aber irgendwelches cookie zeug) und hab auch sonst noch irgend ein anti malware programm gestern benutzt und paar sachen gefunden .

    also des problem scheint jetzt behoben zu sein. denke das es an dem vhost32.exe lag , der immer wieder irgendwelche programme zahl.exe erstellt hat im temp ordner.

    was dieser vhost32.exe ist weiß ich zwar immer noch nicht aber damit ist der thread eig geschlossen.
     
  8. 30. Juni 2009
    AW: Wurm / Trojaner ?

    Für mehr Informationen druideandi


    [not used] - svhost32.exe - Program Information

    Hoffe konnte helfen
    MfG
    SynT@x
     
  9. Video Script

    Videos zum Themenbereich

    * gefundene Videos auf YouTube, anhand der Überschrift.