|
Plagegeister aller Art und deren Bekämpfung: Hilfe bei nicht löschbarem TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
30.11.2004, 19:20 | #1 |
| Hilfe bei nicht löschbarem Trojaner Hallo Leute, habe es schon vorgestern gepostet, leider ohne Antwort, deshalb nochmal in diesem Bereich, da ich wirklich eure Hilfe brauche. Ich habe seit vorgestern echt ein Problem. Eigentlich dachte ich, mein PC wäre recht sicher (auch wenn ich IE nutze, weil nur da alle Typo3-Funktionen zur Verfügung stehen), aber jetzt habe ich mir zum ersten Mal was eingefangen, was auch gleich richtig nervt. Mit Ad-Aware, Spybot und HijackThis kann man zwar das Problem lokalisieren, aber nicht wirklich beseitigen. Ich hoffe nicht, dass mir so eine Prozedur, wie in den anderen Threads bevorsteht, aber hier mal mein HijackThis.log: Logfile of HijackThis v1.98.2 Scan saved at 22:40:20, on 28.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Atguard\iamserv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe D:\Network Associates\VirusScan\Mcshield.exe D:\Network Associates\VirusScan\VsTskMgr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\PROGRA~1\Atguard\iamapp.exe C:\WINNT\System32\rmctrl.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe D:\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\WinTV\Ir.exe C:\WINNT\system32\rundll32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Tools\HijackThis.exe O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html O15 - Trusted Zone: *.Radio@ne O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/d...n/GoogleNav.cab Bin über jegliche Hilfe echt dankbar. Balko |
30.11.2004, 19:43 | #2 |
| Hilfe bei nicht löschbarem Trojaner Hi, balko,
__________________bitte im abgesicherten Modus folgendes mit HJT fixen: O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch Ist das Absicht: O15 - Trusted Zone: *.Radio@ne wenn nicht, dann auch fixen. Anschließend neues Logfile reinposten. Mich würde noch interessieren, was spybot und Co. so lakalisiert haben.
__________________ |
30.11.2004, 20:30 | #3 |
| Hilfe bei nicht löschbarem Trojaner hallo cacatoa,
__________________danke für deine schnelle hilfe. hatte vorher schonmal im abgesicherten modus versucht mit hjt zu fixen, war aber hinterher im normalmodus wieder da. jetzt scheint es geklappt zu haben (habe auch O15 gefixt). Spybot findet noch DSO Exploit (obwohl ich den im abgesicherten Modus gefixt hatte), scheint sich nicht dauerhaft entfernen zu lassen, weil er nach jedem Scan wieder da ist. Hier der HJT.log: Logfile of HijackThis v1.98.2 Scan saved at 19:58:50, on 30.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Atguard\iamserv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe D:\Network Associates\VirusScan\Mcshield.exe D:\Network Associates\VirusScan\VsTskMgr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\rundll32.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\PROGRA~1\Atguard\iamapp.exe C:\WINNT\System32\rmctrl.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe D:\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\WinTV\Ir.exe D:\Tools\HijackThis.exe O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab Noch eine Frage: Wie ist dieses Zeug auf meinen PC gelangt bzw. noch wichtiger - wie kann ich das in Zukunft verhindern? MfG, Balko |
30.11.2004, 20:38 | #4 |
| Hilfe bei nicht löschbarem Trojaner Hallo, Balko, den IE kannst du updaten, gibt ein neues. DSO-Exploit ist Standard-Fehlermeldung bei Spybot; soll mit der nächsten Version behoben sein. Ist also ohne Funktion, kannst löschen oder auch nicht, kommt wieder. Dein Log ist schön sauber. Wenn Du die folgenden nicht brauchst/kennst, kannst du sie auch noch fixen: O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html. Eigentlich sollten Deine Probs jetzt weg sein, oder? cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
30.11.2004, 20:45 | #6 |
| Hilfe bei nicht löschbarem Trojaner coooool, dann war's ja doch nicht so kompliziert :-) sollte ich mir noch irgendwas an software installieren (außer IE-update)? vielen dank nochmal |
30.11.2004, 21:08 | #7 |
| Hilfe bei nicht löschbarem Trojaner so ein mist - jetzt ist das teil schon wieder da. genau wie vorher. wie werde ich das teil bloß los bzw. wo steckt da nochwas? jetzt kam noch ne meldung "winlogon.exe hat fehler verursacht" und der pc startet plötzlich neu. das gibt's doch nicht . balko |
30.11.2004, 21:20 | #8 |
| Hilfe bei nicht löschbarem Trojaner So, dann machen wir doch mal einen eScan (mwav.exe runterladen, in den von Dir erstellten Ordner C:\bases (wichtig) entpacken, updaten (kavupd.exe) und dann laufen lassen (mwav.com)). Das ganze im abgesicherten Modus bei deaktivierter Systemwiederherstellung. Danach neu booten, Sy<tmwiederherstellung wieder aktivieren und das ERgebnis von eScan reinposten.
__________________ Der Mensch sollte eine Hundeseele haben |
30.11.2004, 23:31 | #9 |
| Hilfe bei nicht löschbarem Trojaner Man, das hat ja ziemlich gedauert (eigentlich müsste ich schon längst im Bett sein, aber das muss jetzt mal dringend gelöst werden). escan hat zwar was gefunden, bin aber nicht sicher was ich daraus folgern soll. by the way: ich hatte vor zwei tagen schon von hand eine datei bw2.exe im winnt\temp gelöscht, die aber wiederkam. hier die log-auszüge von escan (habe übrigens w2k drauf): Tue Nov 30 22:24:27 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. Tue Nov 30 22:24:28 2004 => File C:\WINNT\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. Tue Nov 30 23:05:48 2004 => File E:\Software No.19\DivX-Tools\DivX502Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Nov 30 23:05:49 2004 => File E:\Software No.19\DivX-Tools\DivX503Bundle.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Nov 30 23:19:01 2004 => File E:\Software No.19\Quake III\q3_pointrelease_132_win32.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Nov 30 23:19:37 2004 => File E:\Software No.19\WAMP\appserv-win32-230.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. Tue Nov 30 23:19:37 2004 => File E:\Software No.19\WAMP\APPSERV_WIN32_180.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. gute nacht, balko |
30.11.2004, 23:51 | #10 |
| Hilfe bei nicht löschbarem Trojaner Lösche diese Dateien im abgesicherten Modus Tue Nov 30 22:24:27 2004 => File C:\WINNT\Downloaded Program Files\CONFLICT.1\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. Tue Nov 30 22:24:28 2004 => File C:\WINNT\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. Und poste danach ein neues HijackThis Logfile |
01.12.2004, 18:18 | #11 |
| Hilfe bei nicht löschbarem Trojaner So, bin von der arbeit zurück und widme mich sogleich meinem "kleinen" problem. gerade habe ich nochmal c:\winnt mit escan im abgesicherten modus gescannt. hier das ergebnis: File C:\WINNT\Downloaded Program Files\CONFLICT.1\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. File C:\WINNT\Downloaded Program Files\WinTaskAdX.dll tagged as not-a-virus:AdWare.WinAD. No Action Taken. File C:\WINNT\msgf.dll infected by "Trojan-Downloader.Win32.Agent.db" Virus. Action Taken: File Deleted. File C:\WINNT\system32\HCW848UN.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINNT\VT00.exe infected by "Trojan-Downloader.Win32.Lookme.g" Virus. Action Taken: File Deleted. die wintaskadx.dll's konnte ich nicht von hand löschen, da sie nicht in den entsprechenden ordnern angezeigt werden und auch die dateisuche erfolglos war (abgesicherter modus, systemdateien und versteckte werden angezeigt). mit HCW848UN.EXE kann ich nichts anfangen. hjt war erfreulicherweise ergebnislos (soweit ich das beurteilen kann, aber seht selbst): Logfile of HijackThis v1.98.2 Scan saved at 18:06:44, on 01.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\rundll32.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\bases\mwavscan.com C:\bases\kavss.exe D:\Tools\HijackThis.exe O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html ich gehe also davon aus, dass escan zwei trojaner gelöscht hat, aber wintaskadx noch drauf ist. vermutlich ist das so eine art einfallstor für unliebsame gäste, die spätestens dann wieder erscheinen, wenn ich in den normalmodus zurückkehre. was tun? |
01.12.2004, 20:00 | #12 |
| Hilfe bei nicht löschbarem Trojaner Hallo, balko, ich sehe ein Problem mit dem was eScan bei Dir gefunden hat. Der Trojaner "Win32.agent.db" ist der da. Und Shadowdance sagte so schön treffend (in etwa): Ich weiß nicht ob mich mich damit zufrieden geben würde wenn ein backdoortroj, der aktiv war, einfach durch das Löschen eines files weg sein sollte.... Weiterhin: C:\WINNT\Downloaded Program Files\CONFLICT.1\WinTaskAdX.dll C:\WINNT\Downloaded Program Files\WinTaskAdX.dll Die beiden tauchen im Logfile nicht mehr auf? Weiter zu WinAd: Schau mal hier. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
01.12.2004, 22:37 | #13 |
| Hilfe bei nicht löschbarem Trojaner das hört sich ja garnicht gut an. 1. muss ich mir jetzt die antivirus-software von sophos käufen oder gibt's da andere möglichkeiten? wann kann ich mir sicher sein, dass der trojaner dann wirklich weg ist? 2. wie soll ich bei winad was ausrichten, wenn ich nichtmal die dateien zu sehen bekomme? ich glaube, ich drehe hier bald durch. |
01.12.2004, 22:49 | #14 |
| Hilfe bei nicht löschbarem Trojaner Durchdrehen sollst und mußt Du nicht. Die software von sophos mußt Du auch nicht kaufen; der Link verweist nur auf die Erklärung, damit Du siehst, was bei dir los ist. Am sichersten wäre es, das System neu aufzusetzen. Dabei auch an die Datensicherung denken. Und das hier ist Pflichtlektüre, um vieles für die Zukunft zu vermeiden. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
01.12.2004, 23:07 | #15 |
| Hilfe bei nicht löschbarem Trojaner genau das meine ich doch mit durchdrehen :-) wenn ich jetzt das system neu aufsetzen muss, bin ich damit das ganze wochenende beschäftigt - das bockt echt nicht!!! die pflichtlektüre habe ich mir gestern schon komplett zu gemüte geführt (während des virenscans). die wintaskadx-sachen werden bei hjt nicht gefunden, bei escan schon, kann sie aber wie gesagt nicht "finden", um sie von hand zu löschen und befürchte einfach, dass die sofort wieder unsinn machen, wenn ich mit dem pc online gehe. die anderen beiden trojaner scheinen. macht es vielleicht sinn, den gesamten Ordner "Downloaded Program Files" zu löschen? Wenn man mit rechts drauf klickt, sagt er übrigens, dass 7 ordner drin sein sollen, obwohl nur eine (shockwave) drin ist. |
Themen zu Hilfe bei nicht löschbarem Trojaner |
ad-aware, autostart, cache, dateien, dll, explorer, google, guard, hijack, hijackthis, hilfe, internet, internet explorer, microsoft, programme, rundll, seite, spybot, system, system32, tools, trojane, trojaner, virusscan, windows, zone |