Hallo,

Habe neuerdings ständig diverse EXE-Dateien im Temp-Ordner. Sie ändern bei jedem Neustart den Namen, und haben als Icon alle einen kleinen Hund. Einer dieser Anwendungen wird anscheinend wahllos bei jedem Systemstart ausgeführt. Was kann das sein? Diverse Virenscanner und Spybot finden weder Viren noch Trojaner..

Hier das Logfile:

Logfile of HijackThis v1.99.0
Scan saved at 11:32:14, on 03.02.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\OfficeScan NT\ntrtscan.exe
C:\Programme\OfficeScan NT\OfcPfwSvc.exe
C:\Programme\OfficeScan NT\tmlisten.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\OfficeScan NT\pccntmon.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\OfficeScan NT\pccntupd.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Microsoft Office\Office\OUTLOOK.EXE
C:\Programme\Gemeinsame Dateien\System\MAPI\1031\nt\MAPISP32.EXE
C:\Programme\Microsoft Office\Office\POWERPNT.EXE
C:\WINDOWS\Temp\BQ4ADB.EXE
C:\Programme\PowerArchiver\POWERARC.EXE
C:\DOKUME~1\mbe\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://heureka/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = proxy:8080
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.condat.de;<local>
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {724d43a9-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &RoboForm - {724d43a0-0d85-11d4-9908-00400523e39a} - C:\Programme\Siber Systems\AI RoboForm\RoboForm.dll
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\OfficeScan NT\pccntmon.exe" -HideWindow
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: RF - &Formular speichern - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O8 - Extra context menu item: RF - &Menü anpassen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComCustomizeIEMenu.html
O8 - Extra context menu item: RF - Formular ausf&üllen - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O8 - Extra context menu item: RF - RoboForm-&Leiste - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Ausfüllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra 'Tools' menuitem: RF - Formular ausf&üllen - {320AF880-6646-11D3-ABEE-C5DBF3571F46} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComFillForms.html
O9 - Extra button: Speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra 'Tools' menuitem: RF - &Formular speichern - {320AF880-6646-11D3-ABEE-C5DBF3571F49} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComSavePass.html
O9 - Extra button: RoboForm - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra 'Tools' menuitem: RF - RoboForm-&Leiste - {724d43aa-0d85-11d4-9908-00400523e39a} - file://C:\Programme\Siber Systems\AI RoboForm\RoboFormComShowToolbar.html
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: http://www.cs-4players.de.tk
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097851439641
O16 - DPF: {A922B6AB-3B87-11D3-B3C2-0008C7DA6CB9} (InetDownload Class) - http://www.arcor.de/vod/dmd/WMDownload.cab
O16 - DPF: {FFFFFFFF-CAFE-BABE-BABE-10AA0055595A} - http://www.truesuite.com/truewallet/TrueWalletInstall.exe
O23 - Service: OfficeScanNT RealTime Scan - Trend Micro Inc. - C:\Programme\OfficeScan NT\ntrtscan.exe
O23 - Service: OfficeScanNT Personal Firewall - Trend Micro Inc. - C:\Programme\OfficeScan NT\OfcPfwSvc.exe
O23 - Service: OfficeScanNT Listener - Trend Micro Inc. - C:\Programme\OfficeScan NT\tmlisten.exe

Hallo,

Mach mal einen escan im abgesicherten Modus,geh dazu nach dieser Anleitung vor ht tp://www.trojaner-info.de/hijacker/escan.shtml

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Hallo,

hier kommt das Ergebnis von escan. Wie man sieht, hatte mein Antivirus-Programm die infizierten Dateien bereits in sein Quarantäne-Verzeichnis verschoben.. Ob einer dieser Viren schon aktiv ist, kann ich aus dem Logfile allerdings nicht sehen, oder?

Gruss
Peterchen

Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken.

Thu Feb 03 14:22:15 2005 => Scanning File C:\Programme\OfficeScan NT\SUSPECT\index2[1].htm
Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\index2[1].htm infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Thu Feb 03 14:22:15 2005 => Scanning File C:\Programme\OfficeScan NT\SUSPECT\index2[1]_6a8.VIR
Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\index2[1]_6a8.VIR infected by "Exploit.HTML.Mht" Virus. Action Taken: No Action Taken.

Zitat:

Zitat von HerrKautz

Hallo,

Mach mal einen escan im abgesicherten Modus,geh dazu nach dieser Anleitung vor ht tp://www.trojaner-info.de/hijacker/escan.shtml

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Hast du den Crack ausgeführt:

Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken.

http://www.sophos.de/virusinfo/analy...jwinfluxb.html

Wenn ja heisst das Format c:!

Ansonsten lösch den Ordner von deinem AV!


Gruss

hallo,

also der bei sophos beschriebene winflux-trojaner scheint es ja in diesem fall nicht zu sein. ich hab dort mal unter briss gesucht - die dort aufgeführten varianten a und b scheinen nicht so dramatisch zu sein.

gruss
peterchen

Zitat:

Zitat von HerrKautz

Hast du den Crack ausgeführt:

Thu Feb 03 14:22:15 2005 => File C:\Programme\OfficeScan NT\SUSPECT\AI.ROBOFORM.6.0.X.ALL.VERSIONS.CRACK-TSRH.ZIP infected by "TrojanSpy.Win32.Briss.j" Virus. Action Taken: No Action Taken.

http://www.sophos.de/virusinfo/analy...jwinfluxb.html

Wenn ja heisst das Format c:!

Ansonsten lösch den Ordner von deinem AV!


Gruss

Hast du den Crack ausgeführt,ja oder nein?

Btw woher weisst du welchen du genau hast,der Trojaner heisst Spy...,dies bedeutet in der Regel Backdoorfunktion!

Hallo Zusammen,

die Datei im Temp-Folder erscheint zwar zunächst verdächtig, ist es aber nicht. Warum wird das File von keinem Virenscanner gefunden und auch nicht als Spyware erkannt?

Ganz einfach, es ist werder ein Trojaner noch Spyware o.a., sondern ein Prozess des TrendMicro OfficeScan Virenscaners. Jeder der diesen netten "Hund" (Watchdog) auf seinem Rechner hat setzt sicherlich auch OfficeScan ein. Einfach mal Officescan beenden, dann verschwindet auch der Child-Prozess. Officescan wieder starten, und das ist er wieder, allerdings eben mir einem andern Filename.

Grüße

P.D.