Hallo ihr Helfer!
Ich habe seit gestern ein Problem mit folgenden Trojanern:
- TR/DIdr.Agent.TV.9
- TR/Drop.Small.bke.2

Ich habe bereits versucht die Hilfeschritte in der anderen Diskussion zu befolgen, habe auch die Dateien gesucht, aber nicht gefunden. Ich vermute das dies ein klein bisschen anderes Problem ist.

Ich habe nur folgende Dateien gefunden:
-Spoolsv.exe nicht Spoolsv32.exe
-dllhost.exe nicht dllhost32.exe
-ntdll.dll und nicht ntdll.exe

irgendwie find ich das ein bischen verwirrend.
Ach und noch was. Ich erhalt mit jedem Start eines neuen Programms eine Meldung vom Antivir das folgende Datei der Trojaner ist:

C:\DOKUME~1\BASTIA~1\LOKALE~1\TEMP\328792_2404_612_3076_65.41.TMP

Jetzt bin ich ratlos,... das scheiß Ding lässt sich nicht löschen, bzw. wird immer wieder erstellt.

Danke für eure HILFE !!!

Servus, Samqx!
Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493
Bis dann, stupormundi

Hier mein HJT-Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 13:08:12, on 18.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\PROGRAMME\ANTIVIR PE\AVGUARD.EXE
C:\Programme\AntiVir PE\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\pctspk.exe
C:\Programme\DU Meter\DUMeter.exe
C:\Programme\DaemonTool\daemon.exe
C:\Programme\Cherry\KeyMan\KeyMan.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\etb\pokapoka65.exe
C:\Programme\SurfAccuracy\SAcc.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
C:\Programme\Cherry\CDI\CDI.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQ\Icq.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\BASTIA~1\LOKALE~1\Temp\Rar$EX00.487\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
- C:\WINDOWS\system32\hlwin.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTool\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir PE\AVGNT.EXE /min
O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe"
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [shell32] C:\WINDOWS\system32\wuauclt10.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\smmss.exe
O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\wudupdate.exe
O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log whining] C:\WINDOWS\system32\Fussball Manager 2006 crack.exe
O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe
O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - Startup: WKCALREM.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\13C1B~1.BAS\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\13C1B~1.BAS\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\ANTIVIR PE\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir PE\AVWUPSRV.EXE
O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, - C:\Programme\Cherry\CDI\CDI.exe
O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe

Ich hoffe das das Aussagekräftig genug ist und ich nicht das falsche editiert habe

Ach übrigens,... Ich log mal die ganzen Temp. Dateien mit, die er bei jedem Programmstart anlegt,... Vielleicht nutzt das was.

Servus, Samqx!
Bevor wir da jetzt Rätsel raten lass´ diese Datei/en

Zitat:

O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\wudupdate.exe
...
O4 - HKLM\..\Run: [shell32] C:\WINDOWS\system32\wuauclt10.exe

bei Jotti virusscan.jotti.org/de prüfen und poste das Ergebnis. Falls Du eine Fehlermeldung bekommen solltest (0 bytes etc...) beende den dazugehörigen Prozess und/oder deaktiviere temporär Deine FW. Oder Du kopierst die Datei in ein anderes Verzeichnis, gibst ihr einen anderen Namen und probierst es damit.
Wenn sich mein Verdacht bestätigt, brauchst Du sonst gar nicht mehr weitersuchen, da Du dann einen oder mehrere sog. Backdoor-Trojaner im System hast. Dann hilft nur noch http://www.trojaner-board.de/showthread.php?t=12154
Bis dann, stupormundi

Ich habe beide exe Dateien im Autostart gefunden, allerdings nicht im System 32. Soll ich in den Abgesicherten Modus gehen und diese Dateien über HJT löschen?

Nicht löschen, sondern überprüfen lassen (siehe vorpost)
Erst das Wissen was es ist hilft bei der Entscheidung der weiteren Vorgehensweise. Sollte es ein Backdoor sein, hilft Dir einfaches löschen sowieso nicht!
stupormundi

Die Dateien die so ähnlich heißen
-wuaudt.exe
-wuaudt1.exe
hab ich alle gecheckt und die hatten alle keinen Virus.

Ja wie soll ich denn bitte die Datei überprüfen, wenn ich diese überhaupt nicht finde. Beide exe Dateien lassen sich nirgendwo in diesem System 32 auffinden.

Nicht wahllos Dateien die so ähnlich heißen (das können sehr viele sein) sondern exakt (beachte die genaue Schreibweise und den Pfad) nur die von mir zitierten.
Solltest Du die nicht gleich finden, achte darauf, dass auch Systemdateien und versteckte Dateien angezeigt werden (Windows-Explorer: Menüleiste-->Extras--> Ansicht: Erweiterte Einstellungen--> Haken bei "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren und Haken setzen bei "Inhalte von Systemordnern anzeigen"-->*Click* "Übernehmen" und dann die Dateien suchen und zu Jotti senden!
stupormundi

Also was auch immer ich falsch mache,... Ich habe die Systemdateien eingblendet, die versteckten auch aber ich finde die angegebenen Dateien nicht im Sytem 32. Ich habe im Autostart schon mal nachgeschaut und da steht genau der selbe Quellpfad wie du ihn geschrieben hast und genau diesen mache ich über copy paste in die Suchmachine, also nur das: wuauclt10
Finden tut er trotzdem nix...

Eigenartig, maskiert sich gut ...
Naja, dann etwas anderes - dauert etwas länger!
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hau45´s "find.bat" (in der Anleitung ebenfalls beschrieben). Halte Dich genau an alle Punkte der Anleitung und habe Geduld. Wenn die Einstellungen richtig gewählt sind, läuft der Scan >1 Stunde und länger.
~~Edit: Nachtrag: Habe ich vorher vergessen bei den versteckten Dateien

Zitat:

Solltest Du die nicht gleich finden, achte darauf, dass auch Systemdateien und versteckte Dateien angezeigt werden (Windows-Explorer: Menüleiste-->Extras--> Ansicht: Erweiterte Einstellungen--> Haken bei "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren und Haken setzen bei "Inhalte von Systemordnern anzeigen" und bei versteckte Dateien und Ordner "Alle Dateien und Ordner anzeigen" anklicken

bis dann, stupormundi

Hallo,

Zitat:

Eigenartig, maskiert sich gut ...

Denke einfach das die eigentliche Datei schon weg ist, aber der Autostarteintrag (O4) noch vorhanden ist.

Escan ist auf jeden Fall eine gute Idee, aber meiner Meinung nach kannst du nebenbei schon Datensicherung betreiben


Grüße Wildone