Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: tmpf01.exe unkaputtbarer trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 14.01.2005, 18:24   #1
cratchy
 
tmpf01.exe unkaputtbarer trojaner - Standard

tmpf01.exe unkaputtbarer trojaner



hilfe leute!

hab seit ein paar tagen irgendwen auf meinem rechner der mir dauern tmpfXX.exe dateien erstellt . avg erkennt die dann schon aber nicht den ursprung.

hier mal mein hijack-logfile:

Logfile of HijackThis v1.99.0
Scan saved at 18:15:54, on 14.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\AGRSMMSG.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\System32\tmpf03.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Andreas\LOKALE~1\Temp\Rar$EX00.584\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=p454
R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://s-redirect.com/?a=2&b=p454
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=p454
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=p454
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://s-redirect.com/?a=2&b=p454
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://s-redirect.com/?a=2&b=p454
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=p454
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://s-redirect.com/?a=2&b=p454
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=p454
R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,SearchURL = http://s-redirect.com/?a=2&b=p454
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = http://213.159.117.134/index.php
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.hp.com/
O2 - BHO: biObj Class - {000006B1-19B5-414A-849F-2A3C64AE6939} - C:\WINDOWS\bi.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {BA5AE86A-4E77-4485-A902-FFDF620BE3DD} - C:\WINDOWS\System32\elnii.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [sys] regedit -s sysdll.reg
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [SysTime] C:\WINDOWS\System32\systime.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [Setup experation] C:\WINDOWS\svchost.exe
O4 - HKCU\..\Run: [AddClass] C:\WINDOWS\AddClass.exe
O4 - HKCU\..\Run: [winlogon] c:\windows\winlogon.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\webcheck.exe
O4 - Startup: AcrobatAssistent.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://www.hp.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.xxxtoolbar.com
O15 - Trusted Zone: *.blazefind.com (HKLM)
O15 - Trusted Zone: *.clickspring.net (HKLM)
O15 - Trusted Zone: *.flingstone.com (HKLM)
O15 - Trusted Zone: *.mt-download.com (HKLM)
O15 - Trusted Zone: *.my-internet.info (HKLM)
O15 - Trusted Zone: *.searchbarcash.com (HKLM)
O15 - Trusted Zone: *.searchmiracle.com (HKLM)
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.slotch.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted Zone: *.xxxtoolbar.com (HKLM)
O15 - Trusted IP range: 213.159.117.133
O15 - Trusted IP range: 213.159.117.133 (HKLM)
O16 - DPF: {14A3221B-1678-1982-A355-7263B1281987} - ms-its:mhtml:file://c:\nosuch.mht!http://www.awmdabest.com/dlt/397.chm::/file.exe
O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1096375424205
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AVG7 Alert Manager Server - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SoundMAX Agent Service - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

helft mir!
danke
cratchy

Alt 14.01.2005, 18:42   #2
Gigamail
 
tmpf01.exe unkaputtbarer trojaner - Standard

tmpf01.exe unkaputtbarer trojaner



Hi du hast ja einiges drauf
ich würde die ganzen im abgesicherten Modus (Systemwiederherstellung deaktivieren)
R0;alle
R1;alle
02 (file missing);
04 ...systime.exe
04 .. .winlogon.exe
015; alle
021; (file missing)
fixen und dann mal mit eScann prüfen. Ergebniss hier wieder her posten.
__________________

__________________

Alt 14.01.2005, 19:17   #3
Shadowdance
 
tmpf01.exe unkaputtbarer trojaner - Standard

tmpf01.exe unkaputtbarer trojaner



@ cratchy

überprüfe mit Kaspersky:

C:\WINDOWS\System32\tmpf03.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\AddClass.exe
C:\WINDOWS\System\webcheck.exe

==> Ergebnis?
__________________

Alt 14.01.2005, 20:06   #4
cratchy
 
tmpf01.exe unkaputtbarer trojaner - Standard

tmpf01.exe unkaputtbarer trojaner



tmpf03.exe Infiziert: Trojan-Downloader.Win32.Small.agk
bei den anderen kommt nix

das mit tmpf ist ja klar, darum gehts ja
und jetzt?


Zitat:
Zitat von Shadowdance
@ cratchy

überprüfe mit Kaspersky:

C:\WINDOWS\System32\tmpf03.exe
C:\WINDOWS\svchost.exe
C:\WINDOWS\AddClass.exe
C:\WINDOWS\System\webcheck.exe

==> Ergebnis?

Alt 14.01.2005, 20:06   #5
cratchy
 
tmpf01.exe unkaputtbarer trojaner - Standard

tmpf01.exe unkaputtbarer trojaner



hi gigamail,

bevor ich loslege. was ist escann?
danke
cratchy


Zitat:
Zitat von Gigamail
Hi du hast ja einiges drauf
ich würde die ganzen im abgesicherten Modus (Systemwiederherstellung deaktivieren)
R0;alle
R1;alle
02 (file missing);
04 ...systime.exe
04 .. .winlogon.exe
015; alle
021; (file missing)
fixen und dann mal mit eScann prüfen. Ergebniss hier wieder her posten.


Alt 14.01.2005, 21:43   #6
Shadowdance
 
tmpf01.exe unkaputtbarer trojaner - Standard

tmpf01.exe unkaputtbarer trojaner



@ cratchy

eScan ist ein Anti-VirenProgramm.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan (Link zum Link: mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter und entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Lies dazu die bebilderte Anleitung. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Alt 14.01.2005, 23:44   #7
cratchy
 
tmpf01.exe unkaputtbarer trojaner - Standard

tmpf01.exe unkaputtbarer trojaner



Schockierend:
30 viren! naja einige adwares dabei.
warum findet die den Adaware und Antivir und AVG nicht?

Total Number of Files Scanned: 46981
Total Number of Virus(es) Found: 30

Und hier die viren:

C:\WINDOWS\dltime.dll infected by Trojan-Spy.Win32.KeyLogger.cf

C:\WINDOWS\hosts infected by Trojan.Win32.Qhost.k

C:\WINDOWS\system32\mtwirl.dll infected by Trojan.Win32.StartPage.mz

C:\WINDOWS\system32\o4svsi.dll infected by Trojan-Clicker.Win32.Small.cv

C:\WINDOWS\system32\sfcfil.dll infected by Trojan.Win32.StartPage.sc

C:\WINDOWS\system32\ZwfEA.dll infected by Backdoor.Win32.Haxdoor.ay

C:\WINDOWS\system32\tmpf03.exe infected by Trojan-Downloader.Win32.Small.agk

C:\Dokumente und Einstellungen\Andreas\Lokale Einstellungen\Temporary Internet Files\Content.IE5\EJ15JLOH\a679a0[1].js infected by Trojan-Downloader.JS.Small.af

C:\Programme\WebSiteViewer\125018.dlr infected by Trojan-Clicker.Win32.Small.cb

C:\RECYCLER\S-1-5-21-3153908664-1228146811-2735760200-1005\Dc8.exe infected by not-a-virus:Porn-Downloader.Win32.TibSystems


Den im RECYCLER kann ich nicht löschen! hab ich da ne chance? bestimmt, oder?
vielen vielen dank schonmal
cratchy






Zitat:
Zitat von Shadowdance
@ cratchy

eScan ist ein Anti-VirenProgramm.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan (Link zum Link: mwav.exe - 4258 KB - 2/19/04 - 12:00:00 AM) runter und entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Lies dazu die bebilderte Anleitung. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> virus eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Alt 15.01.2005, 03:18   #8
Shadowdance
 
tmpf01.exe unkaputtbarer trojaner - Standard

tmpf01.exe unkaputtbarer trojaner



@ cratchy

sende diese Datei

C:\WINDOWS\system32\ZwfEA.dll

bitte passwortgeschützt (mit Angabe des Passworts in der Mail) an virus@rokop-security.de, mit Hinweis auf diesen Thread und dem Kennwort "Backdoor.Win32.Haxdoor.ay". Und bitte um Mitteilung, welchen Schaden dieser Backdoor anrichtet. Ich hätte gerne eine genaue Beschreibung.

Antwort

Themen zu tmpf01.exe unkaputtbarer trojaner
.exe, .inf, 1.exe, adobe, alert, antivir, antivir update, avg, bho, dateien, explorer, file missing, hijackthis, hotkey, internet, internet explorer, microsoft, monitor, programme, regedit, server, software, system, system32, systemcheck, temp, trojane, trojaner, update, windows, windows xp





Zum Thema tmpf01.exe unkaputtbarer trojaner - hilfe leute! hab seit ein paar tagen irgendwen auf meinem rechner der mir dauern tmpfXX.exe dateien erstellt . avg erkennt die dann schon aber nicht den ursprung. hier mal mein - tmpf01.exe unkaputtbarer trojaner...
Archiv
Du betrachtest: tmpf01.exe unkaputtbarer trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.