Seit gestern werden laufend neue Trojaner von meinem AV Programm gefunden.
Gestern nacht 4 und heute mittag schon wieder 1.
Die 4 gestern Nacht sind von AntiVir während eines ewido scans (der aber clean war) gefunden worden, der heute mittag ist einfach so aufgetaucht.

Ich habe hier mein HJT Log und weiter unten einen Auszug aus meinem AV Log mit den entfernten Trojanern.

Logfile of HijackThis v1.99.1
Scan saved at 12:43:07, on 28.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\mHotkey.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\Home Cinema\PowerCinema\PCMService.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Desktop\cleanup\HijackThis-1.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch.exe" -start
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe"
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinManager.lnk = C:\Programme\Fujitsu Siemens\WinManager\WinManager.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - h**p://w*w.alternatiff.com/install/00/alttiff.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://w*w.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in) -
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} -
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

------------------------------------------------------------------------

28.12.2005,01:40:52 WARNING: Is the Trojan horse TR/Dldr.Qoologic.AZ!
C:\WINDOWS\SYSTEM32\EIUPSOQ.DLL
File has been deleted!
28.12.2005,01:41:26 WARNING: Is the Trojan horse TR/Proxy.Xorpix.e!
C:\WINDOWS\SYSTEM32\MSTOOL.EXE
File has been deleted!
28.12.2005,01:42:10 WARNING: Is the Trojan horse TR/Proxy.Xorpix.e!
C:\WINDOWS\TOOL1.EXE
File has been deleted!
28.12.2005,01:42:20 WARNING: Is the Trojan horse TR/Dldr.Adload.J.40!
C:\WINDOWS\TOOLBAR.EXE
File has been deleted!

28.12.2005,12:30:47 WARNING: Is the Trojan horse TR/Dldr.Adlo.J.47.B!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP195\A0020640.EXE
File has been deleted!

Servus!
In Deinem Log kann ich nichts entdecken, was auf Malware hinweist!
Allerdings sind die von Dir zitierten Funde nicht ohne!
Zu Deiner Konfiguration: Nutzt Du Antivir als Hintergrundwächter und scannst mit ewido on demand (verstehe nämlich so ad hoc die Meldung 'Antivir meldet, während ewido scannt' sonst nicht)
Um mal eine andere Engine zum Einsatz zu bringen lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

Zitat:

Zitat von stupormundi

Zu Deiner Konfiguration: Nutzt Du Antivir als Hintergrundwächter und scannst mit ewido on demand (verstehe nämlich so ad hoc die Meldung 'Antivir meldet, während ewido scannt sonst nicht)

Exakt.
AntiVir wacht immer und ewido benutze ich für wöchentliche scans.

Werde jetzt gleich deine anderen Tips befolgen!

Vielen Dank fürs rasche Antworten

escan hat folgende Infektionen gefunden:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Dec 28 13:55:58 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Wed Dec 28 13:55:58 2005 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken.
Wed Dec 28 13:55:58 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken.
Wed Dec 28 13:56:01 2005 => System found infected with cws.loadadv.400 Browser Hijacker (kl.exe)! Action taken: No Action Taken.
Wed Dec 28 13:56:04 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Wed Dec 28 13:56:04 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken.
Wed Dec 28 14:21:52 2005 => File C:\Dokumente und Einstellungen\****\Anwendungsdaten\Thunderbird\Profiles\ddof1pjz.default\Mail\Local Folders\Inbox infected by "Email-Worm.Win32.Mydoom.i" Virus! Action Taken: No Action Taken.
Wed Dec 28 14:31:58 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Wed Dec 28 15:26:35 2005 => File C:\WINDOWS\kl.exe infected by "Trojan-Spy.Win32.Small.dg" Virus! Action Taken: No Action Taken.
Wed Dec 28 15:53:51 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "offending"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Dec 28 13:56:01 2005 => Offending file found: C:\WINDOWS\kl.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Dec 28 15:53:51 2005 => Total Virus(es) Found: 8
Wed Dec 28 15:53:51 2005 => Total Errors: 438
Wed Dec 28 15:53:51 2005 => Time Elapsed: 01:58:43
Wed Dec 28 15:53:50 2005 => Total Objects Scanned: 85084
Wed Dec 28 13:54:24 2005 => Virus Database Date: 12/26/2005
Wed Dec 28 15:53:51 2005 => Virus Database Date: 12/26/2005
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~

Ich hab mal nachgeschaut, was ich mir da laut log so alles eingefangen habe, und troj/taladra-f BackDoor scheint ja wirklich fies zu sein!

Ich habe hier im Forum verschiedene Threads bzgl. Backdoor Trojaner durchgelesen, und bin jetzt unsicher:

Woher weiss ich, ob "mein" Backdoor Trojaner schon aktiv wurde oder nicht?
Ist eine Neuaufsetzung in jedem Fall notwendig?

Danke im voraus!

Hi,
erstens: Im Moment sieht man von Taladra einen registry-Schlüssel.
Kann ein verwaister eintrag sein; muß aber nicht. In deinem Fall glaube ich eher, daß er noch aktiv ist.
Zweitens: Hast du den eScan im abgesicherten Modus gemacht? Ich glaube nicht; 438 errors lassen darauf schließen.
Ich würde neu aufsetzen.
cacatoa

Zitat:

Zitat von cacatoa

Zweitens: Hast du den eScan im abgesicherten Modus gemacht? Ich glaube nicht; 438 errors lassen darauf schließen.

Ja, habe ich. Abgesicherter Modus und deaktivierte Systemwiederherstellung.
*dumm guck*

Na, ja; die errors tauchen dann meist auf, wenn eScan Dateien scannt, die gerade in Benutzung sind. Und im abgesicherten Modus geben mir 438 errors eben zu denken.
cacatoa

Ich hab auch wie in einem anderen thread beschrieben nach der Datei ntsvc.ocx gesucht - ohne Ergebnis...

Wer kann mir weiterhelfen?

*kopf kratz*

wenn du eine formatierung noch verhindern willst dann solltest du
einen leistungsfähigeren virenscanner installieren , denn 8 oder mehr schädlinge manuell zu eleminieren ist sicher kein zuckerschlecken

ich würde dir raten mal die trial version von kaspersky HIER zu testen, nachdem du antivir komplett deinstalliert hast ...
zusätzlich solltest du spybot-S&D HIER dein system scannen lassen.

während dem ganzen vorgang hast du natürlich deine internetverbindung
(netzwerkkabel ziehen) deaktiviert.

mfg

Zitat:

Zitat von Administrator

ich würde dir raten mal die trial version von kaspersky HIER zu testen, nachdem du antivir komplett deinstalliert hast ...

Danke, werd ich tun!

Zitat:

Zitat von Administrator

zusätzlich solltest du spybot-S&D HIER dein system scannen lassen.

spybot S&D habe ich schon installiert und als Wächter mitlaufen, soll ich da mal logs posten?

Zitat:

Zitat von Administrator

während dem ganzen vorgang hast du natürlich deine internetverbindung
(netzwerkkabel ziehen) deaktiviert.

Ich hab WLAN... wenn ich das alles im safe mode laufen lasse, dann ist doch kein Internet aktiv, oder seh ich das falsch??
Soll ich die Verbindung deaktivieren oder den Router ausschalten?

Vielen Dank nochmal!!

ein S-S&D logfile wär schon interessant ,
und wenn du bei deinem router die stromzufuhr abschalten kannst (und dir keiner deswegen an die gurgel springt) dann solltest du das machen
ansonsten geht das auch einfach indem wenn du unter im gerätemanager ("netzwerkadapter") deine WLAN-karte(rechtsklick-->"deaktivieren") vorrübergehend abschaltest.

jetzt bin ich völlig gebaffelt...

Ich habe AntiVir runtergeschmissen und die trial Version von Kaspersky installiert.
Der Scan war clean!!

Und das, obwohl escan 8 Infektionen gefunden hat!

Was soll ich denn jetzt tun?

@Frau Elster
der hier war aktiv, ich würde neuaufsetzen.
hier eine anleitung

sry
chaosman

naja wenn kaspersky nix findet dann heisst das normalerweise du
hast keine aktiven viren und trojaner auf deinem system

escan sucht ja noch nach ganz anderen schädlingen ,
poste deswegen doch bitte mal ein S&D log .

mfg