|
Plagegeister aller Art und deren Bekämpfung: tmpf00.exe und ein hartnäckiger trojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
05.01.2005, 15:07 | #1 |
| tmpf00.exe und ein hartnäckiger trojaner hallo alle, musste mich hier anmelden, weil ich seit 3 tagen einen hijacker oder trojaner auf meinem W2000 system habe. zur analyse benutze ich filemonitor;antiVir;spyBot;adaware;spywareBlaster ... es läuft: avg Free (virus gard) ; zoneAlarm; antiVirus. grund: abschaltung von zonealarm und ausführen eines js :-( bin selber schuld. was passiert: im taskm. steht ab und an eine datei mit dem namen tmpf00.exe oder tmpf01.exe d.h die zahl hinten zählt hoch. im WINNT folder eine datei tmpf00.exe anzulegen und diese schreibzuschützen bringt nix. er macht dann eben eine tmpf01.exe ist die tmpfnm.exe aktiv zeigt der filemonitor zugriffe von dort auf verschiedenste dateien an. auch dll dateien. weiterhin sind scheinbar beteiligt: EPLRR3.DLL und wtwirl.dll inzwischen ist glaube ich auch mein guter mozilla infiziert :-( verschiedene anti-trojaner/virus/hicjacker programme zeigen verschiedene probleme an und BEHEBEN SIE JEDESMAL ! die ursache allen übes wird scheinbar nicht gefunden :-( daher ist er noch auf meinem system. auch das starten der antiprogramme im abgesicherten modus hat nix gebracht. bitte helft mir, sonst mache ich C: platt und muss die software alle neu installieren. viele grüsse, elo |
05.01.2005, 15:12 | #2 |
| tmpf00.exe und ein hartnäckiger trojaner__________________
__________________ |
05.01.2005, 15:17 | #3 |
| tmpf00.exe und ein hartnäckiger trojaner hi cacatoa, hier die daten:
__________________:::::::::::::::::::::::::::::::::::::::::::::::::::. Logfile of HijackThis v1.99.0 Scan saved at 15:18:53, on 05.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe E:\anwender\VIRUS_~1\avgamsvr.exe E:\anwender\VIRUS_~1\avgupsvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe E:\anwender\VIRUS_~1\avgcc.exe E:\anwender\antivirus\AVGNT.EXE E:\anwender\zoneAlarm\zapro.exe C:\WINNT\system32\ZoneLabs\vsmon.exe E:\anwender\filemonitor_gut\Filemon.exe E:\anwender\firefox\firefox\firefox.exe D:\burnAnwender_29_12_03\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/011/index.html R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html O1 - Hosts: auto.search.msn.com 127.0.0.1 O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVG7_CC] E:\anwender\VIRUS_~1\avgcc.exe /STARTUP O4 - Global Startup: AntiVir Guard.lnk = E:\anwender\antivirus\AVGNT.EXE O4 - Global Startup: ZoneAlarm Pro.lnk = E:\anwender\zoneAlarm\zapro.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8478D3D0-26FF-4589-8242-04BB58C94445}: NameServer = 217.237.150.33 217.237.151.161 O21 - SSODL: eplrr - {339D47A0-EF23-4CAB-9DCB-5C58087DA725} - C:\WINNT\system32\eplrr3.dll O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgupsvc.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe ::::::::::::::::::::::::::::::::::::::::::. vielen dank, elo |
05.01.2005, 15:22 | #4 |
| tmpf00.exe und ein hartnäckiger trojaner Hallo, folgende im abgesicherten Modus mit HijackThis fixen: R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/011/index.html R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html O1 - Hosts: auto.search.msn.com 127.0.0.1 Dann normal booten. Diese Datei: C:\WINNT\system32\eplrr3.dll bitte mal online bei Jotti scannen lassen. Bitte berichte über das Ergebnis und poste ein neues Logfile. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
05.01.2005, 16:06 | #5 |
| tmpf00.exe und ein hartnäckiger trojaner hallo , der im abgesichtern M. durchgeführte scan: :::::::::::::::::::::::::::: Logfile of HijackThis v1.99.0 Scan saved at 15:53:49, on 05.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\userinit.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe D:\burnAnwender_29_12_03\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.nowfind.net/011/index.html R1 - HKLM\Software\Microsoft\Internet Explorer,Search = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.nowfind.net/011/index.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.nowfind.net/011/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.nowfind.net/011/index.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.nowfind.net/011/index.html O1 - Hosts: auto.search.msn.com 127.0.0.1 O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVG7_CC] E:\anwender\VIRUS_~1\avgcc.exe /STARTUP O4 - Global Startup: AntiVir Guard.lnk = E:\anwender\antivirus\AVGNT.EXE O4 - Global Startup: ZoneAlarm Pro.lnk = E:\anwender\zoneAlarm\zapro.exe O21 - SSODL: eplrr - {339D47A0-EF23-4CAB-9DCB-5C58087DA725} - C:\WINNT\system32\eplrr3.dll O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgupsvc.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe ::::::::::::::::::::::: (die dll datei konnte erst nicht hochgeladen werden. filemonitor sagt "FILE_LOCK_Conflict" habe die datei nach c: kopiert und dann von dort hochgeladen! jotti ergebniss: ******************************* File: eplrr3.dll Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: None AntiVir TR/Proxy.Small.AH.1 (0.14 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender Trojan.Proxy.Small.AH (0.65 seconds taken) ClamAV No viruses found (0.83 seconds taken) Dr.Web Trojan.Proxy.164 (1.05 seconds taken) F-Prot Antivirus No viruses found (0.11 seconds taken) Kaspersky Anti-Virus Trojan-Proxy.Win32.Small.ah (0.73 seconds taken) mks_vir Trojan.Proxy.Small.Ah.Gen (0.72 seconds taken) NOD32 No viruses found (1.07 seconds taken) Norman Virus Control No viruses found (0.46 seconds taken) Statistics Last piece of malware found was Win32/Padodor.NAQ in x.chm, detected by: Scanner Malware name Time taken AntiVir X 0.14 seconds Avast X 1.51 seconds BitDefender Exploit.Html.Codebase.Exec.Gen 0.32 seconds ClamAV Exploit.CodeBaseExec 0.35 seconds Dr.Web X 0.52 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus Trojan-Downloader.Win32.WinShow.aq 0.66 seconds mks_vir X 0.20 seconds NOD32 Win32/Padodor.NAQ 0.42 seconds Norman Virus Control X 0.13 seconds ********************* danke , daniel |
05.01.2005, 16:09 | #6 |
| tmpf00.exe und ein hartnäckiger trojaner Also; im abgesicherten Modus sollst Du die von mir genannten Dateien fixen, nicht nochmal scannen. Außerdem die bei Jotti gesacannte auch fixen und manuell (ebenfalls noch im abgesicherten Modus) löschen. Dann neues Logfile im normalen Modus erstellen und posten. Bin jezt mal zwei Stunden weg; aber die anderen helfen dir sicher auch gleich weiter. cacatoa
__________________ --> tmpf00.exe und ein hartnäckiger trojaner |
05.01.2005, 16:09 | #7 |
| tmpf00.exe und ein hartnäckiger trojaner diese eplrr3.dll, wurde von meinen programmen schon erkannt und des öfteren gelöscht. irrgendwann taucht sie dann wieder auf :-( mfg, daniel |
05.01.2005, 16:13 | #8 |
| tmpf00.exe und ein hartnäckiger trojaner Wechsle in den abgesicherten Modus, fixe die von cacatoa genannten Einträge (mit HjT scannen, Häkchen setzen und "fix checked" klicken), lösche die besagte Datei manuell. Dann im normalen Modus neues Logfile erstellen. Falls keine Besserung eintritt, das ganze im abgesicherten Modus bei deaktivierter Systemwiederherstellung wiederholen. |
05.01.2005, 16:31 | #9 |
| tmpf00.exe und ein hartnäckiger trojaner im AG modus waren die scanne wie zuletzt im normal modus: :::::::::::::. Logfile of HijackThis v1.99.0 Scan saved at 16:30:49, on 05.01.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe E:\anwender\VIRUS_~1\avgamsvr.exe E:\anwender\VIRUS_~1\avgupsvc.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe E:\anwender\VIRUS_~1\avgcc.exe E:\anwender\antivirus\AVGNT.EXE E:\anwender\zoneAlarm\zapro.exe C:\WINNT\system32\ZoneLabs\vsmon.exe E:\anwender\filemonitor_gut\Filemon.exe D:\burnAnwender_29_12_03\HijackThis.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [AVG7_CC] E:\anwender\VIRUS_~1\avgcc.exe /STARTUP O4 - Global Startup: AntiVir Guard.lnk = E:\anwender\antivirus\AVGNT.EXE O4 - Global Startup: ZoneAlarm Pro.lnk = E:\anwender\zoneAlarm\zapro.exe O21 - SSODL: eplrr - {339D47A0-EF23-4CAB-9DCB-5C58087DA725} - C:\WINNT\system32\eplrr3.dll (file missing) O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgamsvr.exe O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - E:\anwender\VIRUS_~1\avgupsvc.exe O23 - Service: Macromedia Licensing Service - Unknown - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe ::::::::::::::::::::: es fehlen also die gefixten einträge. zapro.exe und hijack This.exe wollen gleich nach systemstart auf die eplrr3.dll zugreifen aber es kommt FILE_NOT_FOUND. der taskM. ist sauber. ich habe noch angst vor der mozilla.exe die analys. ich nochmal. wenn nicht wird mozilla neu installiert. so, mal sehen ob der trojaner sich nochmal zeigt. vorerst vielen vielen dank !, daniel |
05.01.2005, 16:49 | #10 |
| tmpf00.exe und ein hartnäckiger trojaner ok, da ist er wieder !!!! mozilla hatte ich deinstalliert und komlpettes verzeichniss gelöscht !! danach 1.7.5 installiert warum waren da auf einmal alle bookmarks drin ? hat der die irrgendwo noch gefunden (aus firefox vielleicht) oder gibt es irgendwo einen folder, wo daten des mozillas gespeichert werden und vielleicht auch der trojaner ? filemonitor sagt: mozilla.exe irp_mj_create ....system32/tmpf00.exe usw. tmpf00 greift auf verzeichniss zu von mozilla. auf: system32/inst.exe mozilla_175/inst.exe system32/Wbem/inst.exe system32/mtwcnl.dll system32/nthsc32.dll system32/mtwirl.dll system32/icnfe.dll auf die dectop.ini jscript.dll und etliche mehr. ich wiederhole nun erstmal den vorgang von vorhin! melde mich gleich, daniel |
05.01.2005, 17:40 | #11 |
| tmpf00.exe und ein hartnäckiger trojaner also, nun ... nach start im AG. modus konnte das hijack programm nichts mehr finden. auch läufe von antivirus u.ä ergaben nichts. die eprr.dll konnte ich wieder von hand löschen habe mal die regestrie durchsucht: ::::::::::::::::::::::: HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Explorer Bars\{C4EE31F3-4768-11D2-BE5C-00A0C9A83DA1} dort stehen sie alle drin: tmpf...;eprr*.dll usw. habe ich gelöscht ! HKEY_USERS\S-1-5-21-725345543-963894560-839522115-500\Software\Classes\CLSID\{DABB03E9-AC0D-3740-E3E5-4B37C80837E5}\InProcServer32 und HKEY_USERS\S-1-5-21-725345543-963894560-839522115-500_Classes\CLSID\{DABB03E9-AC0D-3740-E3E5-4B37C80837E5}\InProcServer32 da steht die datei ...mtwirl.dll ::::::::::: warum gab es von ad aware keinen anschlag wegen der regestrie. kann es sein, das dieser trojaner das komplette system , sprich alle anti-trojaner-programme verändert. habe mozilla nochmal gelöscht. wo um alles in der welt kann man firefox deinstallierne. unter "software" stand kein eitrag drin. daher habe ich den folder gelöscht und unter C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten den folder mozilla. wo könnte der trojaner sich den noch verstecken ? viele grüsse, daniel |
05.01.2005, 17:55 | #12 |
Administrator, a.D. | tmpf00.exe und ein hartnäckiger trojaner Um etwas Licht ins Dunkel zu bringen -> Lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
05.01.2005, 19:21 | #13 |
| tmpf00.exe und ein hartnäckiger trojaner so hier die ergebnisse: ::::::::::::::::::::::. File C:\WINNT\system32\fxwgZ.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\B0Cwg.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\fxwgZ.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\gE0Cw.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\xAsBf.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-725345543-963894560-839522115-500\Dc2.exe infected by "Trojan-Proxy.Win32.Small.ah" Virus. Action Taken: No Action Taken. File C:\RECYCLER\S-1-5-21-725345543-963894560-839522115-500\Dc5.dll infected by "Trojan-Proxy.Win32.Small.ah" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\B0Cwg.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\fxwgZ.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\gE0Cw.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken. File C:\WINNT\system32\xAsBf.dll infected by "Backdoor.Win32.Haxdoor.ay" Virus. Action Taken: No Action Taken. File D:\burnAnwender_29_12_03\2004_11_20_babylon_translator\Babylon Pro 5.0 Translator Corporate tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. :::::::::::::::::::::: was soll ich machen ? grüsse, daniel |
05.01.2005, 19:57 | #14 |
| tmpf00.exe und ein hartnäckiger trojaner Danke an cidre! Jetzt schauts schon anders aus. Hier die Beschreibung zu Deinem Backdoor-Troj Dann hast Dunoch den da drauf und den: Troj/Banker-Y/"TrojanProxy.Win32.Small.ah" ist ein Trojaner, der versucht, ausführbare Dateien herunterzuladen und auszuführen. Außerdem versucht er, vertrauliche Daten , auch Bankdaten aufzuspüren und diese an einen remoten Speicherort zu senden. Die Hauptkomponente von Troj/Banker-Y ist eine DLL namens lsd_f3.dll, die im Windows-Systemordner installiert wird. lsd_f3.dll exportiert Code, um Text zu speichern, der in Fenster eingegeben wird, deren Namen folgende Zeichenfolgen enthalten: 'Welcome to Citi', 'Ameritrade', 'E*TRADE', 'e-gold Account Access', 'PayPal', 'Chase.com', 'NETeller.com', 'e-Bullion', 'Evocash', 'INT Gold', 'pecunix', 'moneybookers.com'. Die gespeicherten Daten werden via HTTP an einen remoten Speicherort gesendet. lsd_f3.dll exportiert außerdem Code, um ausführbare Dateien als filtmp?.exe (wobei ? für ein Zeichen von 0 bis 9 steht) von einem remoten Speicherort in den Systemordner herunterzuladen und zu starten. Eine DLL namens eplrr.dll kann in den Windows-Systemordner heruntergeladen und installiert werden. Außerdem werden folgende Registrierungseinträge erstellt: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ ShellServiceObjectDelayLoad\eplrr = <HKCR\CLSID\<CLSID>\InprocServer32 = %SYSTEM%\eplrr.dll (wobei <CLSID> variabel ist.) Wenn eplrr.dll geladen wird, versucht sie, Konfigurationsdaten von einem remoten Speicherort herunterzuladen und kann - abhängig von den Konfigurationsdaten - Programme herunterladen und starten oder die Einstellungen im Microsoft Internet Explorer verändern, indem sie folgende Registrierungseinträge ändert: HKCU\SOFTWARE\Microsoft\Internet Explorer\Main\Search Page usw. eplrr.dll lädt Programme mit dem Namen tmpf??.exe (wobei ?? für eine zweistellige Zahl steht) in den Systemordner herunter. Typischerweise wird eine Datei mit dem Namen timestamp.sys im Systemordner erstellt und eine Datei namens iesprt kann ebenfalls erstellt werden. Diese Erklärung kommt von board.protecus.de Deshalb rate ich Dir nun, das System neu aufzusetzen. halte dich an alle Anweisungen im Link. Sorry cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
05.01.2005, 20:10 | #15 |
| tmpf00.exe und ein hartnäckiger trojaner ich frage nochmal nach: 1) was heisst system? es geht sicher um meine c partition. ok, kann ich machen, ist halt arbeit alle programm neu zu installieren :-( warum gibt es hierzu keine lösung. wieso gibt es keinen virenscanner der das kann. was ist mit escan 2003, der hat den virus schlieslich gefunden? grüsse, daniel |
Themen zu tmpf00.exe und ein hartnäckiger trojaner |
.dll, .exe, 1.exe, abgesicherten modus, adaware, aktiv, anmelden, antivir, avg, avg free, datei, dateien, dll, free, hijacker, infiziert, m.exe, mozilla, namen, neu, nicht gefunden, probleme, programme, software, spybot, starten, system, trojane, trojaner, virus, win, zonealarm |