eied_s7_c_59.exe

Stephard · 01.07.2005, 19:57

Hallo,
seit ein paar Tagen zeigt mir Norton 2005 an, dass es einen Trojaner, "eied_s7_c_59.exe", gefunden hat, den es weder löschen noch isolieren kann.
Ich habe Windows 98.

Ich hoffe ihr könnt mir helfen .

chaosman · 01.07.2005, 21:02

@Stephard
poste bitte ein HJT logfile
http://www.trojaner-board.de/showthread.php?t=17493
poste auch den pfad wo der trojaner gefunden würde.

chaosman

Stephard · 05.07.2005, 18:05

Hier das HJT Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:56:27, on 05.07.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HJT\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.seite.com/info.htm?"%20jetzt%20verlassen?%20%20Oder%20klicken%20Sie%20auf%20Nein%20um%20"Seite.com
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [NPFMntor] C:\PROGRA~1\NORTON~1\IWP\NPFMNTOR.EXE
O4 - Startup: Microsoft Office.lnk = C:\MSOffice\Office10\OSA.EXE
O4 - Startup: Reminder-hpc41003.lnk = C:\Programme\HP DeskJet 610C Series\ereg\Remind32.exe
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
O10 - Broken Internet access because of LSP provider 'mwnsp.dll' missing
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://207.188.7.150/074203152d9e19b85705/netzip/RdxIE601_de.cab
O16 - DPF: {02C20140-76F8-4763-83D5-B660107B7A90} (Loader Class) - h**p://connect.online-dialer.com/MaConnect.cab
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.download-url.de/InstallationsAssistent.ocx

Cidre · 05.07.2005, 18:14

Hallo,

wechsle in den abgesicherten Modus und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

Zitat:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.seite.com/info.htm?"%20jetzt%20verlassen?%20%20Oder%20klicken%20Sie%20 auf%20Nein%20um%20"Seite.com
R3 - URLSearchHook: PerfectNavBHO Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O2 - BHO: NavErrRedir Class - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - C:\PROGRA~1\PERFEC~1\BHO\PERFEC~1.DLL
O4 - HKLM\..\Run: [P2P NETWORKING] C:\WINDOWS\SYSTEM\P2P NETWORKING\P2P NETWORKING.EXE /AUTOSTART
O4 - Startup: GStartup.lnk = C:\Programme\Gemeinsame Dateien\GMT\GMT.exe
Alle O16

Lösche diese Dateien/Ordner:

Zitat:

C:\Programme\Gemeinsame Dateien\GMT
C:\WINDOWS\SYSTEM\P2P NETWORKING
C:\PROGRA~1\PERFEC~1
eied_s7_c_59.exe -> mit Hilfe von KillBox

Anschließend mit aktualisierten Ad-Aware und Spybot S&D scannen und die monierten Dateien entfernen lassen.

- IE sicherer konfigurieren und nur noch für das Windows Update benutzen
- Sichere und komfortablere Browser wie z.B. die Mozilla Suite oder Firefox verwenden- neues Log-File von HijackThis und die Virus Log Information

Stephard · 05.07.2005, 19:14

So, hab alles erledigt. Hier ist schonmal das neue HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 20:10:43, on 05.07.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\HJT\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMON.EXE
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe
O4 - HKLM\..\RunServices: [NPFMntor] C:\PROGRA~1\NORTON~1\IWP\NPFMNTOR.EXE
O4 - Startup: Microsoft Office.lnk = C:\MSOffice\Office10\OSA.EXE
O4 - Startup: Reminder-hpc41003.lnk = C:\Programme\HP DeskJet 610C Series\ereg\Remind32.exe

Cidre · 05.07.2005, 19:46

Sieht schon besser aus.
Hast du wirklich in der kurzen Zeit mit Ad-Aware und Spybot S&D?

Stephard · 05.07.2005, 21:00

Nur Adware. Hab nochmal mit Norton gescannt und der hat immer noch den "Trojaner Downloader" gefunden. Die Datei die davon befallen sein sollte hab ich auch gelöscht. Ist das Problem damit behoben?

Cidre · 05.07.2005, 22:10

Normalerweise sollte das Problem gelöst.

Die anderen Punkte wirst du sicherlich auch noch nicht abgearbeitet haben...

Stephard · 07.07.2005, 18:23

Doch, hab ich gemacht. Norton zeigt allerdings immernoch einen "Trojaner Downloader"

. Mit Trojaner Remover hab ich es auch schon probiert, leider ohne Erfolg.

Cidre · 07.07.2005, 20:20

Wenn du mir noch den genauen Pfad und die genaue Bezeichnung des Trojan Downloaders nennen würdest, dann könnte ich dir vielleicht helfen...

Stephard · 08.07.2005, 17:44

Die Datei in der der Tojaner Downloader sein soll heißt Dc0.cab und befindet sich im Ordner C:\!Submit. Der Name des Trojaners lautet eied_s7_c_59.exe.

Hier noch ein aktuelles HJT Log:

Logfile of HijackThis v1.99.1
Scan saved at 18:52:02, on 08.07.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\DJSNETCN.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCEVTMGR.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCSETMGR.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\IWP\NPFMNTOR.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\REAL\UPDATE_OB\REALSCHED.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCPD-LC\SYMLCSVC.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\CCAPP.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\CFGWIZ.EXE
C:\PROGRAMME\HP DESKJET 610C SERIES\EREG\REMIND32.EXE
C:\PROGRAMME\GEMEINSAME DATEIEN\SYMANTEC SHARED\SNDSRVC.EXE
C:\PROGRAMME\SYMANTEC\LIVEUPDATE\LUALL.EXE
C:\PROGRAMME\SYMANTEC\LIVEUPDATE\LUCOMSERVER_2_6.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\KERNEL.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\SC_WATCH.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BASIS-SOFTWARE\BASIS2\PROFILEMGR.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_5\BROWSER\BROWSER.EXE
C:\PROGRAMME\SYMANTEC\LIVEUPDATE\LUUPDATE.EXE
C:\PROGRAMME\NORTON ANTIVIRUS\NAVW32.EXE
C:\PROGRAMME\HJT\HIJACKTHIS.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Symantec Core LC] C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe start
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [NAV CfgWiz] "C:\Programme\Norton AntiVirus\CfgWiz.exe" /GUID {0D7956A2-5A08-4ec2-A72C-DF8495A66016} /MODE CfgWiz /CMDLINE "REBOOT"
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKLM\..\RunServices: [ccEvtMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe"
O4 - HKLM\..\RunServices: [ccSetMgr] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe"
O4 - HKLM\..\RunServices: [NPFMonitor] C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O4 - HKLM\..\RunServices: [ScriptBlocking] "C:\Programme\Gemeinsame Dateien\Symantec Shared\Script Blocking\SBServ.exe" -reg
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunOnce: [LUSETUP-LT] C:\PROGRA~1\SYMANTEC\LIVEUP~1\LUSETU~1.EXE -s -a -q -log
O4 - Startup: Microsoft Office.lnk = C:\MSOffice\Office10\OSA.EXE
O4 - Startup: Reminder-hpc41003.lnk = C:\Programme\HP DeskJet 610C Series\ereg\Remind32.exe

05.07.2005, 19:46	#6
Cidre Administrator, a.D.	eied_s7_c_59.exe Sieht schon besser aus. Hast du wirklich in der kurzen Zeit mit Ad-Aware und Spybot S&D? __________________ --> eied_s7_c_59.exe

05.07.2005, 22:10	#8
Cidre Administrator, a.D.	eied_s7_c_59.exe Normalerweise sollte das Problem gelöst. Die anderen Punkte wirst du sicherlich auch noch nicht abgearbeitet haben... __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

07.07.2005, 20:20	#10
Cidre Administrator, a.D.	eied_s7_c_59.exe Wenn du mir noch den genauen Pfad und die genaue Bezeichnung des Trojan Downloaders nennen würdest, dann könnte ich dir vielleicht helfen... __________________ Gruß, Cidre [B]Neuaufsetzen des Systems/Absicherung - Wie poste ich falsch?

01.07.2005, 19:57	#1
Stephard	eied_s7_c_59.exe Hallo, seit ein paar Tagen zeigt mir Norton 2005 an, dass es einen Trojaner, "eied_s7_c_59.exe", gefunden hat, den es weder löschen noch isolieren kann. Ich habe Windows 98. Ich hoffe ihr könnt mir helfen .

01.07.2005, 21:02	#2
chaosman	eied_s7_c_59.exe @Stephard poste bitte ein HJT logfile http://www.trojaner-board.de/showthread.php?t=17493 poste auch den pfad wo der trojaner gefunden würde. chaosman __________________ __________________

05.07.2005, 21:00	#7
Stephard	eied_s7_c_59.exe Nur Adware. Hab nochmal mit Norton gescannt und der hat immer noch den "Trojaner Downloader" gefunden. Die Datei die davon befallen sein sollte hab ich auch gelöscht. Ist das Problem damit behoben?

07.07.2005, 18:23	#9
Stephard	eied_s7_c_59.exe Doch, hab ich gemacht. Norton zeigt allerdings immernoch einen "Trojaner Downloader" . Mit Trojaner Remover hab ich es auch schon probiert, leider ohne Erfolg.

eied_s7_c_59.exe

Plagegeister aller Art und deren Bekämpfung: eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe

eied_s7_c_59.exe