Hallo miteinander.
seit gestern plage ich mich mit o.g. Trojaner herum und krieg ihn einfach nicht aus meinem System. Ich hab schon alles versucht inkl. dem Fixen mit HJT. Vieleicht kann mir hier jemand helfen? Hier mein letztes HJT-LogFile.

THX und Gruß
Hellrider
--------
Logfile of HijackThis v1.99.0
Scan saved at 09:32:39, on 04.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\virentools\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [CPQEASYACC] C:\Programme\COMPAQ\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [USBHWDRV] C:\sst4.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: T-Sinus 721 Monitor.lnk = ?
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: Flash Communication Server - Macromedia, Inc. - C:\Programme\Macromedia\Flash Communication Server MX\FlashCom.exe
O23 - Service: Flash Communication Admin Service - Macromedia, Inc. - C:\Programme\Macromedia\Flash Communication Server MX\FlashComAdmin.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\T-Sinus 721\T-Sinus 721 PC\xControlCOM.exe

Deine deutsche Logfiles Auswertung kannst Du Dir unter www.hijackthis.de ansehen!
Einfach Deine Logfiles eingeben auf auswerten klicken und nach unten scrollen!
Roland

Hi Roland,

das hab ich gemacht. Ich hab auch alles gefixt. Allerdings meldet sich mein Antivir bei jedem Neustart wieder mit der Trojanermeldung. HJT kann aber nun - nach Angabe der automaischen Auswertung - nichts mehr finden. So langsam bin ich mit meinem Latein am Ende.

Gruß
Hellrider

Wo genau wird der Schädling denn gefunden?

Zitat:

Zitat von MountainKing

Wo genau wird der Schädling denn gefunden?

Antivir meldet folgendes
C:\DOKUMENTE UND EINSTELLUNGEN\HELLRIDER\LOKALE EINSTELLUNGEN\TEMP\INSTALLER.EXE

und sagt das dies der Trojaner sei. Das Löschen mit Antivir hilft nicht.

btw.: Ich hab ganz vergessen zu sagen, daß nach dem Start sofort der Explorer sich startet und auf die Seite "www.qdentica.com/gamma.html" zuzugreifen versucht.

@Hellrider
poste doch mal ein HJT logfile aus den normalen modus
diesen ordner könntest mal leeren
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

chaosman

Hmm Was minst du mit normalen Modus. Mein Logfile habe ich doch unten gepostet. Gibts da bei HJT noch was anderes? Die Ordner hab ich gelöscht, leider ohne Erfolg :-((

@Hellrider
das sieht ehre nach abgesicherten modus aus.
wenn du aber sagst , dies ist der normaler modus, dann ist es ok, sind nur sehr wenige prozesse
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\virentools\HijackThis.exe

lade dir escan download
anleitung
Zitat Passat2002

lege diesen ordner c:\bases an
download von escan in diesen ordner
entpacke das *zip file mwav.zip hier in diesem ordner
wenn der pfad nicht genau so angegeben wird, funktioniert der scanner nicht!
mache ein update, indem du die datei kavupd.exe startest
wechsle in den abgesicherten modus von windows
öffne nun den explorer, gehe zum ordner c:\bases und starte die datei mwavscan.exe, wenn der scan beendet ist (dauert ca. 1 Stunde), wechselst du zurück in den normalen modus.
nun öffnest du mit dem editor, die mwav.txt und gehst unter bearbeiten -> suchen, hier gibst du infected ein

jene zeile in der infected steht, markieren, und hier einfügen, weitersuchen usw.
und ganz unten steht die zusammenfassung, diese auch hier posten
[Quote] Wed Oct 06 03:19:24 2004 => Total Number of Files Scanned: 54651
Wed Oct 06 03:19:24 2004 => Total Number of Virus(es) Found: 0
Wed Oct 06 03:19:24 2004 => Total Number of Disinfected Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Files Renamed: 0
Wed Oct 06 03:19:24 2004 => Total Number of Deleted Files: 0
Wed Oct 06 03:19:24 2004 => Total Number of Errors: 0
Wed Oct 06 03:19:24 2004 => Time Elapsed: 01:13:32
Wed Oct 06 03:19:24 2004 => Virus Database Date: 2004/10/05
Wed Oct 06 03:19:24 2004 => Virus Database Count: 105164

Wed Oct 06 03:19:24 2004 => Scan Completed.

chaosman

Hi Chaosman,

ich hab nun escan laufen lassen und er hat folgendes gefunden:
------
Tue Jan 04 12:41:54 2005 => File C:\sst4.exe infected by "TrojanDropper.Win32.PurityScan.h" Virus. Action Taken: No Action Taken.

Tue Jan 04 13:23:40 2005 => File C:\Programme\AVPersonal\INFECTED\wvsvc.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Tue Jan 04 13:23:40 2005 => Scanning File C:\Programme\AVPersonal\INFECTED\wvsvc.VIR00
Tue Jan 04 13:23:40 2005 => File C:\Programme\AVPersonal\INFECTED\wvsvc.VIR00 infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Tue Jan 04 13:59:17 2005 => File C:\sst4.exe infected by "TrojanDropper.Win32.PurityScan.h" Virus. Action Taken: No Action Taken.

Tue Jan 04 14:12:21 2005 => File C:\WINDOWS\Temp\ICD1.tmp\MediaTicketsInstaller.ocx infected by "not-a-virus:AdWare.MediaTickets.f" Virus. Action Taken: No Action Taken.

Tue Jan 04 14:12:29 2005 => ***** Scanning complete. *****

Tue Jan 04 14:12:29 2005 => Total Files Scanned: 76796
Tue Jan 04 14:12:29 2005 => Total Virus(es) Found: 5
Tue Jan 04 14:12:29 2005 => Total Disinfected Files: 0
Tue Jan 04 14:12:29 2005 => Total Files Renamed: 0
Tue Jan 04 14:12:29 2005 => Total Deleted Files: 0
Tue Jan 04 14:12:29 2005 => Total Errors: 40
Tue Jan 04 14:12:29 2005 => Time Elapsed: 01:30:49
Tue Jan 04 14:12:29 2005 => Virus Database Date: 2005/01/04
Tue Jan 04 14:12:29 2005 => Virus Database Count: 114661

Tue Jan 04 14:12:29 2005 => Scan Completed.

------
Wie geht es nun weiter?

THX Gruß Hellrider

BTW.: Warum zeigt mir Escan eigentlich dieses infizierte Programm "sst4.exe" 2-mal an? Ich hab es auf der Platte nur einmal gefunden.
Gruß Hellrider

Hallo nochmal,

da ich bislang noch keine eindeutige Lösung für mein Problem gefunden hatte, hab ich gestern einfach mal die Datei "sst4.exe" gelöscht. Außerdem hab ich in der Registry unter HKEY_LOKAL_MASCHINE unter RUN einen entsprechenden Eintrag gefunden und gelöscht. Antivir meldet nun nichts mehr, ebensowenig HJT. Ist mein Problem damit gelöst oder kann es sein das ich da noch andere Dinge suchen muß?

THX @ all
Hellrider

Zitat:

Tue Jan 04 13:23:40 2005 => File C:\Programme\AVPersonal\INFECTED\wvsvc.VIR infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

Du hast bei antivir die dateien nicht gelöscht sondern nur in Quarantäne stellen lassen.
Ausserdem bei Backdoor Viren empfehlen die Experten hier System neu aufsetzen
aber lass mal Haui45 oder Herrn Kautz ran

Zitat:

Zitat von Gigamail

Du hast bei antivir die dateien nicht gelöscht sondern nur in Quarantäne stellen lassen.
Ausserdem bei Backdoor Viren empfehlen die Experten hier System neu aufsetzen
aber lass mal Haui45 oder Herrn Kautz ran

Das hat erstmal nichts mit "uns" Experten zutun,sondern vielmehr,dass es sich hier um einen sehr gefärhlichen Backdoor handelt!

Wir posten die Links hier nicht zum reinen Vergnügen,oder weil es uns Spaß macht euch mitzuteilen,dass ihr formatieren müsst!

Das dient einzig und alleine eurer Sicherheit,und auch der anderen im Netz!

Wir können hier nicht feststellen,was der Rbot sonst noch alles am System verändert hat!

Das du mit deiner verseuchten Kiste immer noch unterwegs bist,ist mir schleierhaft,bzw verstehe ich nicht!

@ Hellrider;

bei dir hilft nur format c:

siehe dazu auch: http://www.trojaner-board.de/showpos...8&postcount=2]

Genau die Links befolgen!

Gruss

Das sollte eigentlich auch keine Kritik sein. hatte nur gemeint Ihr kennt euch da besser aus