GELÖST Trojanerbefall durch Variant.Kazy.20723

Diskutiere Trojanerbefall durch Variant.Kazy.20723 im Vista - Allgemeines Forum im Bereich Windows Vista Forum; Es geht um den PC meiner Frau, sie hat einen Link in einer Email angeklickt, und dann passierte folgendes: Es gab eine Fehlermeldung über einen...
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
Es geht um den PC meiner Frau, sie hat einen Link in einer Email angeklickt, und dann passierte folgendes:

  1. Es gab eine Fehlermeldung über einen Festplattenschaden
  2. Dann wurde der PC neu gestartet
  3. Der Desktop erschien ohne Wallpaper und es fehlten einige Verknüpfungen
  4. In den Benutzerordnern wurden keine Dateien mehr angezeigt
Dann kam ich dazu. Hab gleich AntiVir gestartet.
Nachdem AntiVir auch die angeblich nicht mehr vorhandenen Dateien auf Viren überprüft hat, hab ich die Überprüfung abgebrochen und den Rechner runter gefahren. Ich dachte mir das der Virus evtl. während der Virenprüfung weiterhin Dateien löscht oder schlimmeres macht.

Hab den PC dann mit der F-Secure Rescue CD neu gestartet und überprüft.
Es wurde der Trojaner "Variant.Kazy.20723" gefunden.

Im Internet hab ich nichts genaueres zu diesem Virus gefunden, dieser Bericht ließt sich aber sehr ähnlich.

Die Dateien scheinen vom Virus wirklich alle nur versteckt und schreibgeschützt worden zu sein.

Hat jemand Erfahrung mit diesem Virus?
Im Moment lass ich nochmal AntiVir laufen. Wie muss ich weiter vor gehen um die Daten meiner Frau zu retten:unsure?

Bin für jeden Tipp dankbar.






P.S.
Ich hoffe ich habe meine Anfrage im richtigen Bereich gepostet.
Ansonsten kann man ihn vielleicht ins passende Unterforum verschieben :unsure.
 
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
Avira ist jetzt bei 61%, soll ich den erst fertig laufen lassen bevor ich das andere Tool installiere, oder soll ich das abbrechen??

Hab inzwischen bei einigen Ordnern die Attribute Schreibgeschützt und Unsichtbar entfernt, ich hoffe das war OK.

Auf jeden Fall schon mal danke :)
 
HaraldL

HaraldL

Mitglied seit
26.07.2006
Beiträge
5.805
Standort
Niederbayern
Erstmal Avira fertig scannen lassen. Zwei unterschiedliche Scantools gleichzeitig behindern sich gegenseitig weil sie sich ihre Funde gegenseitig "wegnehmen" können.

Das geht derzeit krass um, laut Avira-Forum seltsamerweise aber nur in Deutschland. Hast du die Mail noch die das ausgelöst hat? Wäre interessant um welchen Betreff es da ging, ob ein Anhang dran war usw. denn auch im Avira-Forum rätselt man woher der kommt. Vor allem weil man aus den Nachbarländern nicht viel dazu liest, das Avira-Forum vor Betroffenen die letzten paar Tage überhäuft wird.

Um die versteckten Dateien wieder korrekt einzublenden gibt es extra ein Tool "Unhide".

Komplette Anleitung zum Entfernen findet man hier
 
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
Das geht derzeit krass um, laut Avira-Forum seltsamerweise aber nur in Deutschland. Hast du die Mail noch die das ausgelöst hat? Wäre interessant um welchen Betreff es da ging, ob ein Anhang dran war usw. denn auch im Avira-Forum rätselt man woher der kommt
Hab die Mail noch in Thunderbird gefunden.
Die Absenderin war eine Amerikanerin. Außer einem Link hatte die Mail keinen sichtbaren Text. Wenn du willst kann ich dir aber den Quelltext der Email, und den Link schicken. Meine Frau sagt sie hat auf den Link geklickt, und das wars dann :(.
 
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
Um die versteckten Dateien wieder korrekt einzublenden gibt es extra ein Tool "Unhide".

Komplette Anleitung zum Entfernen findet man hier
Ist das jetzt ein Problem das ich schon manche Ordner per Hand sichtbar gemacht, und den Schreibschutz aufgehoben habe ?
 
Dirk

Dirk

Mitglied seit
27.03.2007
Beiträge
6.205
Standort
Bonn / Germany
Ist das jetzt ein Problem das ich schon manche Ordner per Hand sichtbar gemacht, und den Schreibschutz aufgehoben habe ?
Ich würde ausser dem Scannen und der Virusbeseitigung erst einmal nichts weiter am PC machen. Jede "Kopierbewegung", jedes Anpacken von Ordnern und Dateien über die Platte kann / wird dazu führen, dass sich das Teil ggf noch weiter einnistet.
 
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
Hallo Dirk
Mach ich so :)

Hab den ersten Teil von HaraldL ausgeführt (also UNHIDE laufen lassen).
Jetzt läuft Malwarebytes. Das Ergebniss poste ich dann hier :)
 
Dirk

Dirk

Mitglied seit
27.03.2007
Beiträge
6.205
Standort
Bonn / Germany
wenn Malwarebytes durchgelaufen ist ruhig nach einem Neustart noch einmal den vollständigen Suchlauf durchlaufen lassen.

Danach noch HiJackThis installieren und laufen lassen ... das entstehende Logfile / den Bericht hier vielleicht noch einmal bei uns posten.

eine kurze Info zu dem Tool kannst Du nachstehend nachlesen.

http://wiki.winboard.org/index.php/Verwendung_von_HiJackThis
 
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
wenn Malwarebytes durchgelaufen ist ruhig nach einem Neustart noch einmal den vollständigen Suchlauf durchlaufen lassen.
Ist jetzt das erste mal durch (zwei Funde):
Infizierte Dateien:
c:\programdata\gtadumrjbjxcvqd.exe.virus (Trojan.FakeAlert) -> No action taken.
c:\Users\Antonia\AppData\Local\Temp\adobe_flash_player.exe (Trojan.Agent) -> No action taken.
Die Dateien sind gelöscht, jetzt läuft Malwarebytes nach Neustart das zweite mal.

Ich hau mich jetzt aufs Ohr und mach dann morgen weiter ;)
 
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
morgen oder heute ? :sing hau rein ;)
Naja, wenns halt wieder hell wird ;)

So zurück zum Thema:
Malwarebytes ist das zweite mal durchgelaufen und hat erst mal nichts mehr gefunden :up
(ich denke mal da wollt ihr kein Logfile)

Hijackthis ist gerade auch das erste mal durchgelaufen, hier das Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 09:19:57, on 27.04.2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.19048)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
C:\adad95\SYSTEM\AdadService.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ZSSnp211.exe
C:\Windows\Domino.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Antonia\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
C:\Users\Antonia\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.physiotherapie.flisar.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0908&m=travelmate_5730
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [adad95News] c:\adad95\system\AdadService.exe /MES
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZSSnp211] C:\Windows\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\Windows\Domino.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [gTADumrjbJxcVqD] C:\ProgramData\gTADumrjbJxcVqD.exe
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Thunderbird.lnk = C:\Program Files\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Flash Memory Card Driver\o2flash.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9897 bytes
soll ich hijackthis das auch nach einem Neustart nochmal laufen lassen, oder ist das unnötig?
 
HaraldL

HaraldL

Mitglied seit
26.07.2006
Beiträge
5.805
Standort
Niederbayern
Die Absenderin war eine Amerikanerin. Außer einem Link hatte die Mail keinen sichtbaren Text. Wenn du willst kann ich dir aber den Quelltext der Email, und den Link schicken. Meine Frau sagt sie hat auf den Link geklickt, und das wars dann :(.
Das bringt uns dann wieder auf einen Satz von mir von vorgestern, der Sixbag so amüsiert hatte.

Wegen der Mail, den Quelltext könntest du mir per PN schicken. Bitte keinesfalls offen hier ins Forum posten, wir hatten irgendwann früher schon mal das Problem daß Google beim Durchforsten des Winboards irgend so einen Link entdeckt hatte und dann die Google-Suche und Firefox vor Winboard wegen einer "gefährlichen Seite" gewarnt hatten.

EDIT wegen Hijackthis-Log:
Also folgende Punkt am Log solltest du ggf. überprüfen:
1. C:\adad95\SYSTEM\AdadService.exe (laufendes Programm) und O4 - HKLM\..\Run: [adad95News] c:\adad95\system\AdadService.exe /MES (Startbefehl) könnte zu einem Programm für Therapie und Praxisverwaltung gehören, dann wäre das OK. Wenn "Adad 95" unbekannt ist, dann verdächtig. Anhand deiner IE-Startseite sollte das aber OK sein.
2. C:\Windows\Domino.exe läuft, sagt dir das was? Der Name ist recht allgemein, das könnte sowohl ein Spiel als auch was ganz anderes sein. Du könntest die Datei suchen und mit rechter Taste und Eigenschaften bei "Details" schauen was zu Hersteller, Produkt usw. zu finden ist wo das dazugehört
3. O4 - HKCU\..\Run: [gTADumrjbJxcVqD] C:\ProgramData\gTADumrjbJxcVqD.exe ist ein Startbefehl der Schadsoftware. Gut möglich daß die EXE-Datei durch die Scans selber längst weg ist, den Startbefehl solltest du mit Hijackthis entfernen
4. O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) Ist ein Überbleibsel zu dem keine Datei mehr existiert, solltest du ebenfalls mit Hijackthis entfernen
 
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
Das bringt uns dann wieder auf einen Satz von mir von vorgestern, der Sixbag so amüsiert hatte.
So ist es, zum Glück kann ichs auf meine Frau schieben :D

Wegen der Mail, den Quelltext könntest du mir per PN schicken. Bitte keinesfalls offen hier ins Forum posten, wir hatten irgendwann früher schon mal das Problem daß Google beim Durchforsten des Winboards irgend so einen Link entdeckt hatte und dann die Google-Suche und Firefox vor Winboard wegen einer "gefährlichen Seite" gewarnt hatten.
Na klar, so was dachte ich mir schon. Ich schick sie dir per PN ;)
 
Zuletzt bearbeitet von einem Moderator:
HaraldL

HaraldL

Mitglied seit
26.07.2006
Beiträge
5.805
Standort
Niederbayern
Du hast zu schnell geantwortet :D ich habe oben noch was wegen deinem Log hinzugefügt, nur daß du es nicht übersiehst

EDIT: Noch ein Nachtrag, die Domino.exe könnte eventuell zu einer Webcam gehören, finde ich mehrfach bei Google. Vielleicht sieht man das ja an den Dateieigenschaften.

EDIT2: Danke für den Mailquelltext per PN, habe ihn im geschlossenen Bereich des Avira-Forums gepostet (dabei alle Empfängeradressen, insbesondere die deiner Frau anonymisiert). Vielleicht hilft das denen das Einfallstor der Seuche zu finden und zu stoppen. Und da viel Antivirusfirmen ihre Infos untereinander austauschen hätten auch andere was davon.
 
Zuletzt bearbeitet:
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
EDIT wegen Hijackthis-Log:
Also folgende Punkt am Log solltest du ggf. überprüfen:
1. C:\adad95\SYSTEM\AdadService.exe (laufendes Programm) und O4 - HKLM\..\Run: [adad95News] c:\adad95\system\AdadService.exe /MES (Startbefehl) könnte zu einem Programm für Therapie und Praxisverwaltung gehören, dann wäre das OK. Wenn "Adad 95" unbekannt ist, dann verdächtig. Anhand deiner IE-Startseite sollte das aber OK sein.
2. C:\Windows\Domino.exe läuft, sagt dir das was? Der Name ist recht allgemein, das könnte sowohl ein Spiel als auch was ganz anderes sein. Du könntest die Datei suchen und mit rechter Taste und Eigenschaften bei "Details" schauen was zu Hersteller, Produkt usw. zu finden ist wo das dazugehört
3. O4 - HKCU\..\Run: [gTADumrjbJxcVqD] C:\ProgramData\gTADumrjbJxcVqD.exe ist ein Startbefehl der Schadsoftware. Gut möglich daß die EXE-Datei durch die Scans selber längst weg ist, den Startbefehl solltest du mit Hijackthis entfernen
4. O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) Ist ein Überbleibsel zu dem keine Datei mehr existiert, solltest du ebenfalls mit Hijackthis entfernen
Zu 1.
Da liegst du richtig, das ist eine Abrechnungssoftware für Krankenkassen.
Die braucht regelmäßig Traifupdates und der Updater läuft im Hintergrund. Ich wusste nicht wie ich den deaktivieren kann.
Zu 2.
Richtig viel bekomme ich zu der Datei nicht raus.
Erstellt: 1.Nov2009
Geändert: 18.Aug2006
Letzter Zugriff: 25.April 2011
(meine Frau hat aber ne Webcam, ich kann mal schauen ob ich die Treibercd finde und obs da auch eine Datei namens Domino.exe gibt).
Zu 3.
Die Datei hab ich nicht gefunden, scheint also schon weg zu sein.
Hab unter Extras--> Ordneroptionen--> Ansicht
Das Häkchen "Geschützte Systemdateien ausblenden entfernt" und "Alle Dateien und Ordner anzeigen" aktiviert.Dann müsste er mir die Datei doch anzeigen falls sie noch da ist, oder?
Zu 4.
Einfach Häkchen setzen und "Fix checked" anklicken, richtig?

EDIT: Zu 4. hab ich gemacht, steht ja in Dirks Link zu HiJackThis unter Punkt 7 :)
 
HaraldL

HaraldL

Mitglied seit
26.07.2006
Beiträge
5.805
Standort
Niederbayern
Zu 1. Sollst du auch nicht deaktivieren wenn das Programm bekannt ist. Also einfach so lassen
Zu 2. gibt es im Eigenschaften-Dialog kein Register "Details"? Oft findet man da Angaben zum Hersteller usw., ansonsten ist das mit der Treiber-CD eine gute Idee
Zu 3.+4. genau, die beiden Einträge in Hijackthis vorne ankreuzen und dann "Fix checked". Hijackthis erzeugt dann neben seiner EXE einen Ordner "Backup" mit dem man bei anschließenden Problemen den Vorgang auch rückgängig machen könnte.
 
M

mich78

Threadstarter
Mitglied seit
07.01.2007
Beiträge
69
Alter
41
Zu 1. Sollst du auch nicht deaktivieren wenn das Programm bekannt ist. Also einfach so lassen
Zu 2. gibt es im Eigenschaften-Dialog kein Register "Details"? Oft findet man da Angaben zum Hersteller usw., ansonsten ist das mit der Treiber-CD eine gute Idee
Zu 3.+4. genau, die beiden Einträge in Hijackthis vorne ankreuzen und dann "Fix checked". Hijackthis erzeugt dann neben seiner EXE einen Ordner "Backup" mit dem man bei anschließenden Problemen den Vorgang auch rückgängig machen könnte.
Zu 1.
Ok
Zu 2.
leider nicht, ich schau dann ob ich die CD finde
Zu 3. + 4.
Erledigt, hab den PC neu gestartet und nochmals HiJackThis gestartet. Dein unter 4. aufgeführter Eintrag ist aber trotzdem noch drin.

Ich häng hier nochmal das neue Logfile an:
Code:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 10:27:44, on 27.04.2011
Platform: Windows Vista SP2 (WinNT 6.00.1906)
MSIE: Internet Explorer v8.00 (8.00.6001.19048)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Apoint2K\Apoint.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Users\Antonia\AppData\Local\Temp\RtkBtMnt.exe
C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\adad95\SYSTEM\AdadService.exe
C:\Windows\WindowsMobile\wmdSync.exe
C:\Program Files\Avira\AntiVir Desktop\avgnt.exe
C:\Windows\ZSSnp211.exe
C:\Windows\Domino.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Adobe\Reader 8.0\Reader\reader_sl.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\hkcmd.exe
C:\Windows\System32\igfxpers.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Apoint2K\HidFind.exe
C:\Program Files\Apoint2K\Apntex.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\wuauclt.exe
c:\Users\Antonia\Downloads\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.physiotherapie.flisar.info/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://homepage.acer.com/rdr.aspx?b=ACAW&l=0407&s=2&o=vp32&d=0908&m=travelmate_5730
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O2 - BHO: SkypeIEPluginBHO - {AE805869-2E5C-4ED4-8F7B-F1F7851A4497} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.6.6209.1142\swg.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [BkupTray] "C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BkupTray.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [Skytel] Skytel.exe
O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ePower_DMC] C:\Program Files\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Program Files\Acer\WR_PopUp\WarReg_PopUp.exe
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [CanonSolutionMenu] C:\Program Files\Canon\SolutionMenu\CNSLMAIN.exe /logon
O4 - HKLM\..\Run: [CanonMyPrinter] C:\Program Files\Canon\MyPrinter\BJMyPrt.exe /logon
O4 - HKLM\..\Run: [adad95News] c:\adad95\system\AdadService.exe /MES
O4 - HKLM\..\Run: [Windows Mobile-based device management] %windir%\WindowsMobile\wmdSync.exe
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [ZSSnp211] C:\Windows\ZSSnp211.exe
O4 - HKLM\..\Run: [Domino] C:\Windows\Domino.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [IgfxTray] C:\Windows\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\Windows\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\Windows\system32\igfxpers.exe
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKCU\..\Run: [swg] "C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program Files\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe
O4 - Startup: Thunderbird.lnk = C:\Program Files\Mozilla Thunderbird\thunderbird.exe
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra 'Tools' menuitem: Skype Plug-In - {898EA8C8-E7FF-479B-8935-AEC46303B9E5} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O18 - Protocol: skype-ie-addon-data - {91774881-D725-4E58-B298-07617B9B86A8} - C:\Program Files\Skype\Toolbars\Internet Explorer\skypeieplugin.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\Windows\system32\browseui.dll
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O23 - Service: Dienst "Bonjour" (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: NTI Backup Now 5 Agent Service (BUNAgentSvc) - NewTech Infosystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\Client\Agentsvc.exe
O23 - Service: Empowering Technology Service (ETService) - Unknown owner - C:\Program Files\Acer\Empowering Technology\Service\ETService.exe
O23 - Service: Google Desktop Manager 5.9.1005.12335 (GoogleDesktopManager-051210-111108) - Google - C:\Program Files\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: PIXMA Extended Survey Program (IJPLMSVC) - Unknown owner - C:\Program Files\Canon\IJPLM\IJPLMSVC.EXE
O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: MobilityService - Unknown owner - C:\Acer\Mobility Center\MobilityService.exe
O23 - Service: NTI Backup Now 5 Backup Service (NTIBackupSvc) - NewTech InfoSystems, Inc. - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\BackupSvc.exe
O23 - Service: NTI Backup Now 5 Scheduler Service (NTISchedulerSvc) - Unknown owner - C:\Program Files\NewTech Infosystems\NTI Backup Now 5\SchedulerSvc.exe
O23 - Service: O2Micro Flash Memory Card Service (o2flash) - O2Micro International - C:\Program Files\O2Micro Flash Memory Card Driver\o2flash.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - C:\Program Files\Common Files\Protexis\License Service\PsiService_2.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program Files\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--
End of file - 9816 bytes
 
HaraldL

HaraldL

Mitglied seit
26.07.2006
Beiträge
5.805
Standort
Niederbayern
Wenn ich zu 4. nach dem enthaltenen Code 02478D38-C3F9-4efb-9B51-7695ECA05670 google finde ich daß es sich wohl um den Überrest einer nicht 100% entfernten Yahoo-Toolbar handelt. Bei mehreren Leuten wird genau dieser Eintrag bei jedem Neustart wieder angelegt obwohl die Yahoo-Toolbar längst deinstalliert wurde. Scheint also nichts schlimmes sondern nur ein "kosmetisches" Problem zu sein das man wohl auch mit Tools wie CCleaner usw. nicht dauerhaft wegbekommt. Anscheinend verbleibt eine DLL im System die das immer wieder anlegt, muß man dann wohl einfach so lassen.

Du könntest unter Systemsteuerung - Software schauen ob da von Yahoo noch was zu finden ist, das könntest du deinstallieren. Ich vermute aber daß da gar nichts mehr ist.

Also wenn die Domino.exe zur Webcam gehört (die ZSSnp211.exe übrigens wohl auch) dann schaut das Log für mich soweit OK aus.

Generell wäre es nicht verkehrt zu kontrollieren ob häufige Einfallstore für Schädlinge durch zu alte Versionen auf aktuellem Stand sind, jeweils sofern überhaupt installiert:
- Flash-Player 10.2.159.1 (Kontrolle über http://www.adobe.com/software/flash/about/)
- Java 6 Update 25 (Kontrolle über http://java.com/de/download/help/testvm.xml)
- Adobe Reader 9.4.4 oder 10.0.1 (Im Reader per Menü Hilfe - Über Adobe Reader)
- Quicktime 7.6.9 (Im QT-Player per Menü Hilfe - Über Quicktime Player)
Versionsnummern sind aktuell heute, Stand 27.04.2011
 
webspider[GER]

webspider[GER]

Mitglied seit
06.05.2006
Beiträge
2.408
@mich78
was man aus so logfiles alles rauslesen kann

ist das euere homepage
http://www.physiotherapie.flisar.info/

ansonsten stimme ich HaraldL zu scheint sauber zu sein


zu 1)
Da liegst du richtig, das ist eine Abrechnungssoftware für Krankenkassen.
Die braucht regelmäßig Traifupdates und der Updater läuft im Hintergrund.

der Befall des Systems
stimmt mich nachdenklich in Bezug auf die Abrechnungsoftware


mal schauen was Harald L dazu meint
 
Thema:

Trojanerbefall durch Variant.Kazy.20723

Sucheingaben

content

,

Gen:Variant.Kazy.602257

,

Gen:Variant.Kazy.33351

,
trojan.agentgen-kazy
, variant kazy, gen:variant.kazy windows neu installation

Trojanerbefall durch Variant.Kazy.20723 - Ähnliche Themen

  • Honor MagicBook Pro Notebook mit Windows 10 Home Edition in verschiedenen Varianten vorgestellt

    Honor MagicBook Pro Notebook mit Windows 10 Home Edition in verschiedenen Varianten vorgestellt: Wie auch der Mutterkonzern Huawei ist Honor im Windows 10 Bereich aktiv und hat nun neue Geräte vorgestellt, aber leider keine Smartphones mit...
  • Viren/Trojanerbefall

    Viren/Trojanerbefall: Hallo, es hat sich soeben ganz kurz eine Internetseite mit Ansage gezeigt, wonach mein Rechner mit Pishing befallen ist und ich solle eine...
  • Viren/Trojanerbefall

    Viren/Trojanerbefall: Hallo, es hat sich soeben ganz kurz eine Internetseite mit Ansage gezeigt, wonach mein Rechner mit Pishing befallen ist und ich solle eine...
  • [gelöst] Auflösung ändern bei Trojanerbefall

    [gelöst] Auflösung ändern bei Trojanerbefall: Hallo, ich habe das Problem, dass ein PC im abgesicherten Modus nicht hochfährt, weil der Monitor die Grafikeinstellung nicht unterstützt. Im...
  • Daten sichern nach Trojanerbefall

    Daten sichern nach Trojanerbefall: Hallo, ich habe mir den Trojaner Win32:Vitro eingefangen. Dieser scheint einer der aggressivsten Trojaner zur Zeit zu sein und befällt sämtlich...
  • Ähnliche Themen

    • Honor MagicBook Pro Notebook mit Windows 10 Home Edition in verschiedenen Varianten vorgestellt

      Honor MagicBook Pro Notebook mit Windows 10 Home Edition in verschiedenen Varianten vorgestellt: Wie auch der Mutterkonzern Huawei ist Honor im Windows 10 Bereich aktiv und hat nun neue Geräte vorgestellt, aber leider keine Smartphones mit...
    • Viren/Trojanerbefall

      Viren/Trojanerbefall: Hallo, es hat sich soeben ganz kurz eine Internetseite mit Ansage gezeigt, wonach mein Rechner mit Pishing befallen ist und ich solle eine...
    • Viren/Trojanerbefall

      Viren/Trojanerbefall: Hallo, es hat sich soeben ganz kurz eine Internetseite mit Ansage gezeigt, wonach mein Rechner mit Pishing befallen ist und ich solle eine...
    • [gelöst] Auflösung ändern bei Trojanerbefall

      [gelöst] Auflösung ändern bei Trojanerbefall: Hallo, ich habe das Problem, dass ein PC im abgesicherten Modus nicht hochfährt, weil der Monitor die Grafikeinstellung nicht unterstützt. Im...
    • Daten sichern nach Trojanerbefall

      Daten sichern nach Trojanerbefall: Hallo, ich habe mir den Trojaner Win32:Vitro eingefangen. Dieser scheint einer der aggressivsten Trojaner zur Zeit zu sein und befällt sämtlich...
    Oben