hallo
ich habe mir obengenannten gast eingefangen.
leider finde ich ihn nicht und kann so gut wie keine info finden wie ich ihn wieder loswerde.
er soll sich laut bitdefender in dieser datei tummeln.
c:\system volume information\_restore{48d48ba3-c681-4af3-9e0.
wenn ich die datei suche kommt die meldung das darauf nicht zugegriffen werden kann ??
kann mir jemand helfen?
danke

hallo frogfisch,
Willkommen an Board.
Systemwiederherstellung ab- und wieder einschalten -da kriegst du den los.

so ich bins wieder
also dieser trojaner ist hartnaeckig.
bitdefender meldet ihn immer wieder!
konnte aber noch nicht eingrenzen mit wem oder was das teil eingeschleppt wird.
irgendeiner ne idee??

</font><blockquote>Zitat:</font><hr />
...dieser trojaner ist hartnaeckig.
</font>[/QUOTE]..die sind alle so unfreundlcih.
</font><blockquote>Zitat:</font><hr />
bitdefender meldet ihn immer wieder!
</font>[/QUOTE]...und wo denn jetzt?
</font><blockquote>Zitat:</font><hr />
konnte aber noch nicht eingrenzen mit wem oder was das teil eingeschleppt wird.
</font>[/QUOTE]..hast du erwartet, dass jeder Trojaner sien Herkunft sofort nach Verlagen ausweist?
</font><blockquote>Zitat:</font><hr />
irgendeiner ne idee??
</font>[/QUOTE]...ja. Jede Menge. Nach dem, als du:
1. Was in meinem ersten Posting steht, tust
2. Deinen nächsten Posting so formulierst, dass man dir helfen kann.

Vielleicht hilft ein HijackThis-Log weiter, poste den mal bitte.

Download-Quellen

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie

ok ok
also ich habe deinen rat selbstverstaendlich befolgt und die systemwiederherstellung deaktiviert.
nach booten des rechners wieder eingschaltet(systemwiederherstellung)
heute die meldung von bd das in C:/system/restore oder so aehnlich (habs mir leider nicht genau gemerkt) obengenannter trojaner eingenistet waere.
was ich nicht verstehe, warum laesst bitdefender
zu, das sich der trojaner dort niederlaesst. er erkennt ihn ja anscheinend, also koennte er ihn doch auch blockieren oder ist das nur wunschgedanke??
danke schon fuer infos
harald

ps: hier der gewuenschte hijack log!
Logfile of HijackThis v1.97.7
Scan saved at 20:54:30, on 17.03.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\CTHELPER.EXE
E:\Programme\Logitech\iTouch\iTouch.exe
E:\Programme\Motherboard Monitor 5\MBM5.EXE
E:\Programme\Logitech\MouseWare\system\em_exec.exe
E:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
E:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
E:\progra~1\softwin\bitdef~1\bdnagent.exe
E:\programme\powerstrip\pstrip.exe
E:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
E:\Programme\Creative\MediaSource\Go\CTCMSGo.exe
C:\WINDOWS\System32\CTsvcCDA.exe
E:\PROGRA~1\Symantec\GHOSTS~2.EXE
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
E:\Programme\Emule\emule.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
E:\Programme\Softwin\BitDefender Professional Edition\vsserv.exe
e:\progra~1\softwin\bitdef~1\bdmcon.exe
E:\Programme\Ventrilo\Ventrilo.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\Downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir..._PVER}&ar=home
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,Shellnext = http://www.microsoft.com/isapi/redir...0&plcid=0x0407
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] E:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MBM 5] "E:\Programme\Motherboard Monitor 5\MBM5.EXE"
O4 - HKLM\..\Run: [CTSysVol] E:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] E:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] "C:\Programme\Creative\Splash Screen\CTEaxSpl.EXE" /run
O4 - HKLM\..\Run: [Mirabilis ICQ] E:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [BDMCon] e:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] e:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [PowerStrip] e:\programme\powerstrip\pstrip.exe
O4 - HKCU\..\Run: [RemoteCenter] E:\Programme\Creative\MediaSource\RemoteControl\RcMan.exe
O4 - HKCU\..\Run: [Creative MediaSource Go] E:\Programme\Creative\MediaSource\Go\CTCMSGo.exe /SCB
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...035.6230787037
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {F49DA492-7B88-463F-B389-CA9A02F6DA76} (Seagate SeaTools German Online) - http://www.seagate.com/support/disc/...npseatools.cab

[ 17. M&auml;rz 2004, 20:58: Beitrag editiert von: frogfish ]

hallo?
gibts zu dem log nun was zu sagen??
fuer mich ist das leider nur abfahrt und bahnhof [img]graemlins/balla.gif[/img]

Sieht für mich auf den ersten Blick sauber aus. Du solltest aber mal mit WindowsUpdate überprüfen, ob das System auf dem aktuellen Stand ist!

Hast Du nach dem Ausschalten und vor dem erneuten Aktivieren der Systemwiederherstellung mal mit 'nem AV-Proggi gescannt?

Gruß [img]graemlins/daumenhoch.gif[/img]
Yopie