|
Plagegeister aller Art und deren Bekämpfung: Hilfe - laufend neue Trojaner gefunden!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
28.12.2005, 13:09 | #1 |
| Hilfe - laufend neue Trojaner gefunden! Seit gestern werden laufend neue Trojaner von meinem AV Programm gefunden. Gestern nacht 4 und heute mittag schon wieder 1. Die 4 gestern Nacht sind von AntiVir während eines ewido scans (der aber clean war) gefunden worden, der heute mittag ist einfach so aufgetaucht. Ich habe hier mein HJT Log und weiter unten einen Auszug aus meinem AV Log mit den entfernten Trojanern. Logfile of HijackThis v1.99.1 Scan saved at 12:43:07, on 28.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\iTunes\iTunesHelper.exe C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Desktop\cleanup\HijackThis-1.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch.exe" -start O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinManager.lnk = C:\Programme\Fujitsu Siemens\WinManager\WinManager.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - h**p://w*w.alternatiff.com/install/00/alttiff.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://w*w.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in) - O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in) - O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe ------------------------------------------------------------------------ 28.12.2005,01:40:52 WARNING: Is the Trojan horse TR/Dldr.Qoologic.AZ! C:\WINDOWS\SYSTEM32\EIUPSOQ.DLL File has been deleted! 28.12.2005,01:41:26 WARNING: Is the Trojan horse TR/Proxy.Xorpix.e! C:\WINDOWS\SYSTEM32\MSTOOL.EXE File has been deleted! 28.12.2005,01:42:10 WARNING: Is the Trojan horse TR/Proxy.Xorpix.e! C:\WINDOWS\TOOL1.EXE File has been deleted! 28.12.2005,01:42:20 WARNING: Is the Trojan horse TR/Dldr.Adload.J.40! C:\WINDOWS\TOOLBAR.EXE File has been deleted! 28.12.2005,12:30:47 WARNING: Is the Trojan horse TR/Dldr.Adlo.J.47.B! C:\SYSTEM VOLUME INFORMATION\_RESTORE{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP195\A0020640.EXE File has been deleted! |
28.12.2005, 13:23 | #2 |
| Hilfe - laufend neue Trojaner gefunden! Servus!
__________________In Deinem Log kann ich nichts entdecken, was auf Malware hinweist! Allerdings sind die von Dir zitierten Funde nicht ohne! Zu Deiner Konfiguration: Nutzt Du Antivir als Hintergrundwächter und scannst mit ewido on demand (verstehe nämlich so ad hoc die Meldung 'Antivir meldet, während ewido scannt' sonst nicht) Um mal eine andere Engine zum Einsatz zu bringen lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! stupormundi
__________________ Geändert von stupormundi (28.12.2005 um 13:36 Uhr) |
28.12.2005, 13:29 | #3 | |
| Hilfe - laufend neue Trojaner gefunden!Zitat:
AntiVir wacht immer und ewido benutze ich für wöchentliche scans. Werde jetzt gleich deine anderen Tips befolgen! Vielen Dank fürs rasche Antworten |
28.12.2005, 16:19 | #4 |
| Hilfe - laufend neue Trojaner gefunden! escan hat folgende Infektionen gefunden: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Dec 28 13:55:58 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken. Wed Dec 28 13:55:58 2005 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken. Wed Dec 28 13:55:58 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken. Wed Dec 28 13:56:01 2005 => System found infected with cws.loadadv.400 Browser Hijacker (kl.exe)! Action taken: No Action Taken. Wed Dec 28 13:56:04 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Wed Dec 28 13:56:04 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Wed Dec 28 14:21:52 2005 => File C:\Dokumente und Einstellungen\****\Anwendungsdaten\Thunderbird\Profiles\ddof1pjz.default\Mail\Local Folders\Inbox infected by "Email-Worm.Win32.Mydoom.i" Virus! Action Taken: No Action Taken. Wed Dec 28 14:31:58 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Wed Dec 28 15:26:35 2005 => File C:\WINDOWS\kl.exe infected by "Trojan-Spy.Win32.Small.dg" Virus! Action Taken: No Action Taken. Wed Dec 28 15:53:51 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Dec 28 13:56:01 2005 => Offending file found: C:\WINDOWS\kl.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Dec 28 15:53:51 2005 => Total Virus(es) Found: 8 Wed Dec 28 15:53:51 2005 => Total Errors: 438 Wed Dec 28 15:53:51 2005 => Time Elapsed: 01:58:43 Wed Dec 28 15:53:50 2005 => Total Objects Scanned: 85084 Wed Dec 28 13:54:24 2005 => Virus Database Date: 12/26/2005 Wed Dec 28 15:53:51 2005 => Virus Database Date: 12/26/2005 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
28.12.2005, 18:13 | #5 |
| Hilfe - laufend neue Trojaner gefunden! Ich hab mal nachgeschaut, was ich mir da laut log so alles eingefangen habe, und troj/taladra-f BackDoor scheint ja wirklich fies zu sein! Ich habe hier im Forum verschiedene Threads bzgl. Backdoor Trojaner durchgelesen, und bin jetzt unsicher: Woher weiss ich, ob "mein" Backdoor Trojaner schon aktiv wurde oder nicht? Ist eine Neuaufsetzung in jedem Fall notwendig? Danke im voraus! |
28.12.2005, 18:23 | #6 |
| Hilfe - laufend neue Trojaner gefunden! Hi, erstens: Im Moment sieht man von Taladra einen registry-Schlüssel. Kann ein verwaister eintrag sein; muß aber nicht. In deinem Fall glaube ich eher, daß er noch aktiv ist. Zweitens: Hast du den eScan im abgesicherten Modus gemacht? Ich glaube nicht; 438 errors lassen darauf schließen. Ich würde neu aufsetzen. cacatoa
__________________ --> Hilfe - laufend neue Trojaner gefunden! |
28.12.2005, 18:31 | #7 | |
| Hilfe - laufend neue Trojaner gefunden!Zitat:
*dumm guck* |
28.12.2005, 18:42 | #8 |
| Hilfe - laufend neue Trojaner gefunden! Na, ja; die errors tauchen dann meist auf, wenn eScan Dateien scannt, die gerade in Benutzung sind. Und im abgesicherten Modus geben mir 438 errors eben zu denken. cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
28.12.2005, 19:42 | #9 |
| Hilfe - laufend neue Trojaner gefunden! Ich hab auch wie in einem anderen thread beschrieben nach der Datei ntsvc.ocx gesucht - ohne Ergebnis... Wer kann mir weiterhelfen? *kopf kratz* |
28.12.2005, 21:02 | #10 |
| Hilfe - laufend neue Trojaner gefunden! wenn du eine formatierung noch verhindern willst dann solltest du einen leistungsfähigeren virenscanner installieren , denn 8 oder mehr schädlinge manuell zu eleminieren ist sicher kein zuckerschlecken ich würde dir raten mal die trial version von kaspersky HIER zu testen, nachdem du antivir komplett deinstalliert hast ... zusätzlich solltest du spybot-S&D HIER dein system scannen lassen. während dem ganzen vorgang hast du natürlich deine internetverbindung (netzwerkkabel ziehen) deaktiviert. mfg |
28.12.2005, 21:28 | #11 | |||
| Hilfe - laufend neue Trojaner gefunden!Zitat:
Zitat:
Zitat:
Soll ich die Verbindung deaktivieren oder den Router ausschalten? Vielen Dank nochmal!! |
28.12.2005, 21:45 | #12 |
| Hilfe - laufend neue Trojaner gefunden! ein S-S&D logfile wär schon interessant , und wenn du bei deinem router die stromzufuhr abschalten kannst (und dir keiner deswegen an die gurgel springt) dann solltest du das machen ansonsten geht das auch einfach indem wenn du unter im gerätemanager ("netzwerkadapter") deine WLAN-karte(rechtsklick-->"deaktivieren") vorrübergehend abschaltest. |
28.12.2005, 22:35 | #13 |
| Hilfe - laufend neue Trojaner gefunden! jetzt bin ich völlig gebaffelt... Ich habe AntiVir runtergeschmissen und die trial Version von Kaspersky installiert. Der Scan war clean!! Und das, obwohl escan 8 Infektionen gefunden hat! Was soll ich denn jetzt tun? |
28.12.2005, 23:13 | #15 |
| Hilfe - laufend neue Trojaner gefunden! naja wenn kaspersky nix findet dann heisst das normalerweise du hast keine aktiven viren und trojaner auf deinem system escan sucht ja noch nach ganz anderen schädlingen , poste deswegen doch bitte mal ein S&D log . mfg |
Themen zu Hilfe - laufend neue Trojaner gefunden! |
adobe, adobe reader, antivir, bho, computer, desktop, ebay, einstellungen, firefox, hijack, hijackthis, home, homepage, internet, internet explorer, mozilla, mozilla firefox, plug-in, programm, rojaner gefunden, rundll, security, security suite, software, system, trojaner, trojaner gefunden, windows, windows xp |