|
Plagegeister aller Art und deren Bekämpfung: Trojaner gefundenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
15.02.2005, 13:21 | #1 |
| Trojaner gefunden Mcafee findet auf meinem pc beim start des IE immer ein Trojanisches Pferd. Bei erkannt als steht "Downloader-VA" Dateiname ist khpdqhb.sys und befindet sich in c:\winnt\system32\drivers Datei wird beim öffnen des ie gelöscht,taucht bei jedem Aufruf aber erneut auf. Mit Toolbarcop habe ich nachgesehen und eine toolbar gefunden,diese habe ich gelöscht.IE aufgerufen ok. Nach PC neustart ist der Trojaner aber erneut aufgetreten. Toolbarcop zeigt eine andere dll an die aufgerufen wird,das ganze habe ich mehrmals probiert jedesmal steht eine andere dll drin deren name anscheinend willkürlich erstellt wird. Kennt das wer? |
15.02.2005, 13:26 | #2 |
| Trojaner gefunden Hi,
__________________erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This
__________________ |
15.02.2005, 13:51 | #3 |
| Trojaner gefunden Hoffe das passt so:
__________________Logfile of HijackThis v1.98.2 Scan saved at 13:37:55, on 15.02.2005 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\system32\drivers\CDAC11BA.EXE C:\WINNT\system32\svchost.exe C:\WINNT\SYSTEM32\GEARSEC.EXE C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\SOUNDMAN.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\advapps\ADVInstaller\ADVInst.exe C:\WINNT\system32\ntvdm.exe C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE C:\Programme\Winamp\winampa.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINNT\system32\internat.exe C:\Programme\Nokia\Nokia PC Suite 6\pcsync2.exe C:\Corel\Graphics8\Programs\MFIndexer.exe C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe C:\WINNT\system32\rsvp.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {1C0CD4A1-3A3C-2471-50AA-1495B2250D7B} - (no file) O2 - BHO: (no name) - {3CA18F85-5DF5-1B39-F487-A595D459F77C} - C:\WINNT\system32\kupvpdkm.dll O3 - Toolbar: (no name) - -{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} - (no file) O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [VTTimer] VTTimer.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [AdvInstaller] C:\Programme\advapps\ADVInstaller\ADVInst.exe /SCHEDULER O4 - HKLM\..\Run: [RealOnePlayer] C:\Programme\Real\RealOne Player\REALONEBENUTZERSMS.EXE /s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [IntelliPointSetup] "c:\programme\microsoft intellipoint 4.0\mouse\Setup.exe" /skiptoieinstall O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKCU\..\Run: [internat.exe] internat.exe O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\pcsync2.exe /NoDialog O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm |
15.02.2005, 15:33 | #4 |
| Trojaner gefunden Du arbeitest mit einem alten HJT, ist der aus dem Link was ich Dir gepostet habe? --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung Fixe folgende Einträge: O2 - BHO: (no name) - {1C0CD4A1-3A3C-2471-50AA-1495B2250D7B} - (no file) O3 - Toolbar: (no name) - -{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} - (no file) O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm lösche von Hand folgende Dateien: C:\WINNT\web\related.htm Folgende Datei mal hier http://virusscan.jotti.org/de online scannen C:\WINNT\system32\kupvpdkm.dll Ergebnis 10 Zeilen wieder rein posten neu booten neues HJT |
Themen zu Trojaner gefunden |
andere, aufruf, befindet, dll, erkannt, erneut, erstell, erstellt, gefunde, gelöscht, mcafee, neustart, pc neustart, probiert, rojaner gefunden, schei, start, system, system32, taucht, troja, trojaner, trojaner gefunden, trojanisches, willkürlich, win, winnt, öffnen |