|
Plagegeister aller Art und deren Bekämpfung: Ein Haufen Trojaner&CoWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
17.12.2004, 12:26 | #1 |
| Ein Haufen Trojaner&Co Moin zusammen! Bin echt ins schwitzen gekommen, ich krich die Viecher nicht runter Habe eScan übers System laufen lassen(nicht im abgesicherten Modus, ist das nötig?), nachdem ich mit HijackThis nicht alle Trojaner, etc. entfernen konnte: Wurde einiges gefunden, habe mir wohl so die BEST-OF der Trojaner-Downloader usw eingefangen. -- wie soll ich jetzt vorgehen???? Einfach die gefundenen Dateien, die als Virus detected wurden löschen? Im abgesicherten Modus? schon mal thx für die Bemühungen!! |
17.12.2004, 12:34 | #2 |
| Ein Haufen Trojaner&Co Sowohl scannen als auch löschen im abgesicherten Modus, ja. Welche Schädlinge wurden denn genau gefunden?
__________________Erstelle ein HJT-Log und poste es: http://www.trojaner-board.de/51130-a...ijackthis.html |
17.12.2004, 12:38 | #3 |
| Ein Haufen Trojaner&Co Also der HijackThis Log is unspektakulär, da ist nur einen Sache als Böse erkannt worden, die allerdings momentan nicht mehr gefunden wird- seltsam!?
__________________Ich poste mal beides erst Hijack und dann escan (viel interessanter) Logfile of HijackThis v1.99.0 Scan saved at 11:41:18, on 17.12.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe D:\AVPersonal\AVGUARD.EXE D:\AVPersonal\AVWUPSRV.EXE C:\WINNT\System32\svchost.exe C:\WINNT\System32\nvsvc32.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\System32\mspmspsv.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\NVATray.exe D:\A4Tech\Mouse\Amoumain.exe C:\Programme\Saitek\Software\Profiler.exe C:\Programme\Saitek\Software\SaiSmart.exe D:\AVPersonal\AVGNT.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Microsoft Office\Office\OSA.EXE D:\Microsoft Office\Office\FINDFAST.EXE C:\Firefox\firefox.exe C:\WINNT\system32\wuauclt.exe C:\bases\mwavscan.com C:\bases\kavss.exe D:\Downloads\Security\HijackThis.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {7BAC8D25-46F2-2848-31A3-1F0122BF739B} - C:\WINNT\addnr32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NVIDIA nForce APU1 Utilities] NVATray.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [WheelMouse] D:\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [Profiler] C:\Programme\Saitek\Software\Profiler.exe O4 - HKLM\..\Run: [SaiSmart] C:\Programme\Saitek\Software\SaiSmart.exe O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [AVGCtrl] "D:\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\System32\NeroCheck.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - Startup: Office-Start.lnk = D:\Microsoft Office\Office\OSA.EXE O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Microsoft Office\Office\FINDFAST.EXE O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0241a1e1...dxIE601_de.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\AVPersonal\AVWUPSRV.EXE O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe eScan File C:\WINNT\addnr32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. File C:\WINNT\addnr32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\syshosth.exe infected by "Worm.Win32.Francette.k" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\WinSVCservice.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\DANIEL~1\LOKALE~1\TEMPOR~1\Content.IE5\UL5X8P2A\go[1].gif infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken. File C:\DOKUME~1\DANIEL~1\LOKALE~1\TEMPOR~1\Content.IE5\2905SLE9\tsinstall_4_0_3_7[1].exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\syshosth.exe infected by "Worm.Win32.Francette.k" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\WinSVCservice.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\YSBactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gp" Virus. Action Taken: No Action Taken. File C:\WINNT\Downloaded Program Files\loader2.ocx infected by "Trojan-Downloader.Win32.Agent.ex" Virus. Action Taken: No Action Taken. File C:\WINNT\addnr32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Daniel Zimmermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UL5X8P2A\go[1].gif infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken. File C:\Dokumente und Einstellungen\Daniel Zimmermann\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2905SLE9\tsinstall_4_0_3_7[1].exe infected by "Trojan-Downloader.Win32.TSUpdate.g" Virus. Action Taken: No Action Taken. File C:\m00.exe infected by "Trojan-Downloader.Win32.Small.add" Virus. Action Taken: No Action Taken. File D:\AVPersonal\INFECTED\discdiag.VIR infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken. File D:\AVPersonal\INFECTED\sys32spool.VIR infected by "I-Worm.Sober.i" Virus. Action Taken: No Action Taken. File D:\Downloads\TA\AFark.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Downloads\TA\ascarab.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Downloads\TA\chedge.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Downloads\TA\CImlator.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Downloads\TA\Necro.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Downloads\TA\StarfishIsle.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File D:\Pegasus\wpmmapi.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. |
17.12.2004, 12:50 | #4 |
| Ein Haufen Trojaner&Co Das würde ich schon mal verdächtig finden: O2 - BHO: (no name) - {7BAC8D25-46F2-2848-31A3-1F0122BF739B} - C:\WINNT\addnr32.dll Wie es aussieht: File C:\WINNT\system32\winhlpp32.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\WinSVCservice.exe infected by "Backdoor.Agobot.qo" Virus. Action Taken: No Action Taken. war/ist auf deinem Rechner mindestens ein Schädling mit Backdoorfähigkeiten aktiv http://www.sophos.de/virusinfo/analy...2agobothh.html Logische Konsequenz wäre die Empfehlung, neu zu installieren: http://board.protecus.de/showtopic.p...me=1097944155& Hast du die Dateien schon gelöscht? Wie gesagt, um sicherzuegehen, dass dein System sauber ist, wäre obige Prozedur das Beste, es KANN sein, dass du alle Schädlinge gelöscht hats, aber sobald jemand von Außen Zugriff hatte, bleibt immer ein Restrisiko. |
17.12.2004, 12:58 | #5 |
| Ein Haufen Trojaner&Co O2 - BHO: (no name) - {7BAC8D25-46F2-2848-31A3-1F0122BF739B} - C:\WINNT\addnr32.dll wurde ja auch bei eScan als Virus detected!! Du meinst also letztendlich muss wohl neu formatiert etc. werden? Ok aber übergangsweise, formatieren geht im Moment grad nicht, kann ich im abgesicherten Modus die Dateien löschen? |
Themen zu Ein Haufen Trojaner&Co |
abgesicherte, abgesicherten, abgesicherten modus, dateien, detected, entferne, entfernen, escan, gefundenen, haufen, hijack, hijackthis, konnte, laufen, löschen, löschen?, modus, nötig, runter, system, troja, trojaner, viecher, virus, vorgehen, übers, zusammen |