Hi, gestern habe ich mir einen Bildschirmschoner bei themexp.org runtergeladen und als ich die exe starten wollte, hat AntiVirXP gemeint einen Trojaner entdeckt zu haben (habe leider nicht genau hingeschaut sondern gleich auf entfernen geklickt. Dann kam eine Fehlermeldung und Rechner hat neugestartet. Es kam dann kurz darauf gleich nochmal ein Bluescreen, bei dem stand irgendwas von "Fritz" (meiner Einwahlsoftware), obwohl ich garnichts damit gemacht habe. Ich habe AntiVir nochmal durchlaufen lassen, aber nix wurde gefunden. Auch von TrojanHunter wurde nix gefunden. Spybot hat zwar allerhand entfernt, aber das ist meistens so.

Jetzt hab ich mal netstat benutzt und folgendes kam dabei raus:

Ich kann mir daraus aber nicht viel nehmen. Hat vielleicht jemand Ahnung davon ?

Jede Hilfe wäre echt nett.
THX, Gruß mannex

[ 14. April 2004, 16:46: Beitrag editiert von: mannex ]

Welchen Bildschirmschoner hast du denn heruntergeladen?

=> *http://themexp.ezthemes.com/pcenhanc...l?blank+16599* Achtung, Trojanergefahr ! [img]graemlins/teufel3.gif[/img]

PLZ Help

[ 13. April 2004, 21:13: Beitrag editiert von: mannex ]

Ich hab mir jetzt mal 2 Dateien heruntergeladen.
Dabei wurden 2 Trojaner installiert.
AntiVir erkennt aber diese Dateien noch nicht.
Scheinbar kann man sich hier nur Malware downloaden.

Das sieht aus wie themexp.org ist aber eine falsche URL. Die von ThemeXP hat nur ein themexp.org.

Björn

</font><blockquote>Zitat:</font><hr />Original erstellt von mannex:
*Klick*
</font>[/QUOTE]Hallo mannex und Willkommen im Board,

würdest Du bitte in Deinem 2. Beitrag den Link zu dem Bildschirmschoner 'maskieren', sprich nicht anklickbar machen?!?

Danke,
Lutz

In einem Download hab ich auch einen Trojaner gefunden. Ich habe Themexp.org mal informiert.

Björn

Welchen Trojaner hast du gefunden?
Meistens ist ein Trojan.Dropper namens Win32.Small.ff

Ja das waren die beiden in den Dateien.
Mir haben 2 Dateien gereicht, danach habe ich themexp.org angeschrieben.

Björn

Nice ... und nun ? [img]smile.gif[/img] Wie werd' ich das jetzt wieder los ?

Mach mal mit HijacktThis einen Log und poste das hier.

http://www.chip.de/downloads/c_downloads_11353576.html

Dann schauen wir mal ob du noch was im Autostart hast. Und lass noch mal einen Virenscanner laufen.

Björn

@mannex
AntiVir erkennt doch den Trojaner noch gar net.
Wie kann das Programm den Schädling dann gefunden haben.

@Lucky
Hoffentlich auf Englisch .......

Ne auf japanisch.... Klar auf englisch. Noch kann ich lesen...

Björn

[img]graemlins/aplaus.gif[/img]
Sag uns bescheid was rauskommt.

@*Christian*: kA, jedenfalls hat AntiVir ne Meldung gemacht, als ich die EXE ausgheführt habe. Als ich entfernen wollte kam eine Fehlermeldung und der Computer hat neugestartet.

------------------------------------------

Logfile of HijackThis v1.97.7
Scan saved at 21:18:25, on 13.04.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
D:\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Antivir\AVGNT.EXE
D:\Mouseware\MouseWare\system\em_exec.exe
D:\ASUSProbe\AsusProb.exe
D:\D-Tools\daemon.exe
D:\Samurize\Client.exe
C:\WINDOWS\System32\alg.exe
D:\Antivir\AVGUARD.EXE
D:\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\DRIVERS\CDANTSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
D:\F-Secure\backweb\4476822\program\fsbwsys.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\ntvdm.exe
D:\Fritz\FriWeb32.exe
D:\mozilla\mozilla.exe
E:\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\AcrobatPRO\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - d:\AcrobatPRO\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - d:\AcrobatPRO\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [CTSysVol] D:\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [AVGCtrl] D:\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ASUS Probe] d:\ASUSProbe\AsusProb.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [THGuard] "D:\TrojanHunter 3.8\THGuard.exe"
O4 - Startup: daemon.lnk = D:\D-Tools\daemon.exe
O4 - Startup: Samurize.lnk = D:\Samurize\Client.exe
O9 - Extra 'Tools' menuitem: Sun Java Console (HKLM)
O16 - DPF: {3AF4DACE-36ED-42EF-9DFC-ADC34DA30CFF} (PatchInstaller.Installer) - file://G:\content\include\XPPatchInstaller.CAB
O16 - DPF: {8B1BC605-C593-4865-8F5B-05517F0CD0BB} (MSSecurityAdvisorCD Class) - file://G:\Content\include\msSecUcd.cab
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...073.3275694444
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C2170CB-329A-4B56-A205-754988E29287}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS1\Services\Tcpip\..\{2C2170CB-329A-4B56-A205-754988E29287}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CS2\Services\Tcpip\..\{2C2170CB-329A-4B56-A205-754988E29287}: NameServer = 192.168.120.252,192.168.120.253