Hallo Leute,
ich hatte mir gestern nacht durch einen falschen Klick einen Haufen Probleme eingehandelt.
Startseite war plötzlich eine dubiose "systemwarning.com", mein Scanner(KAV5.0) fand mehrere Trojaner auf meinem Rechner.
Trojan-Downloader Win32.Agent.acd
Trojan-Downloader Win32.Zlob.dn
Trojan-Dropper Win32.Small.akg
Auch der Scanner dürfte beschädigt worden sein, da er plötzlich seine Aufgaben nur noch fehlerhaft ausführte, ebenso die Downloads der Datenbanken.
Laut Log wurden in
C:\Windows\system32\1024\
folgende von Win32.Zlob.da infizierte Dateien gefunden:
ld9BC4.tmp
ldA6A0.tmp
ldDE40.tmp
Ein Löschen der Dateien war nicht möglich, da er diese angeblich nicht gefunden hat.
Ebenso wurde in
C:\Windows\system32\
folgende von Hoax.Win32.Renos.ak infizierte Datei gefunden und gelöscht.
wbeconm.dll
Wird die für irgendwas benötigt, oder handelt es sich dabei um einen Trojaner???
Weiters wurden zu einem späteren Zeitpunkt folgende von Win32.Zlob.do infizierte Dateien gefunden und gelöscht:
C:\Windows\system32\mssearchnet.exe
mssearchnet.exe\mssearchnet.exe
C:\Windows\system32\msvol.tlb
Ist eine dieser Dateien für den Rechnerbetrieb erforderlich und muß ich diese ersetzen?
Seitdem die ersten temporären Dateien gelöscht wurden, scheint der Virenscanner wieder ordentlich zu funktionieren, zumindestschließt er laut Protokoll seine Aufgaben wieder erfolgreich ab.
Zur Zeit läuft ein weiterer Systemcheck, der aber bis dato nichts ans Tageslicht geebracht hat.
Die Startseite wurde wiederhergestellt, das Addon, welches auf die dubiose Seite führte, habe ich gefunden und nach mehreren Versuchen* erfolgreich gelöscht.
*mehrtere Versuche deshalb, da sich die temporäre Datei zuerst gar nicht löschen lies und sich bei weiteren Versuchen selbst reproduzierte und sich in einen anderen Ordner hineinschrieb.
Erst, als ich den Dateinamen veränderte und den Eintrag aus der Registry gelöscht habe, ließ sich dieses Objekt von meinem Rechner entfernen.
In der Browserinternen AddOn-Verwaltung wird es aber nach wie vor aufgeführt, deaktiviert.
Das AddOn nannte sich HomepageBHO und der Dateiname war/ist hp78de.tmp.
Kann mir da ein Profi Tips zur Systemwiederherstellung und sicheren Wiederinbetriebnahme geben?
Danke
Kurt

Hallo,
diese Dateien werden nicht für den Rechnerbetrieb benötigt.
C:\Windows\system32\mssearchnet.exe
mssearchnet.exe\mssearchnet.exe
C:\Windows\system32\msvol.tlb

Könntest du evtl. noch ein HJT logfile posten?

Klar, hier ist es:

Logfile of HijackThis v1.99.1
Scan saved at 00:19:11, on 31.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\mysql\bin\mysqld-nt.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\system32\wfxsnt40.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\borland\interbase\bin\ibguard.exe
C:\Programme\Symantec\WinFax\WFXCTL32.EXE
C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe
C:\Programme\borland\interbase\bin\ibserver.exe
C:\mysql\bin\winmysqladmin.exe
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Symantec\WinFax\WFXMOD32.EXE
C:\Programme\CAO-Faktura\cao_faktura.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp78DE.tmp (file missing)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe
O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE
O4 - Global Startup: LUMIX Simple Viewer.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619
O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe
O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe

Den Prozess C:\WINDOWS\system32\nvctrl.exe habe ich inzwischen beendet und umbenannt und danach gelöscht.
Gleichzeitig hab ich das Teil an KAV geschickt, da es, im Gegensatz zu HijackThis nicht als Trojaner identifiziert wird.

Gruß

Kurt

[edit]
links entfernt
[/edit]

Fixe diesen Eintrag:
O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp78DE.tmp (file missing)

Ausser der nvctrl.exe kann ich nichts finden.
Läuft dein Rechner denn wieder normal bzw. schmeißt dein AVP noch Meldungen?

Den Eintrag der BHO hab ich inzwischen gelöscht, wie die nvctrl.exe.
Über die Dateisuche hab ich auch noch den Eintrag im Recent-Ordner gelöscht, ebenso den Eintrag: NVCTRL.EXE-325F48B7.pf

Ansonst läuft mein System wieder normal, auch KAV zeigt zur Zeit keine anormalen Verhaltensweisen.
Ob das nach dem Neustart so bleibt, hoffe ich einfach mal.
Sicherheitshalber hab ich mir die von euch empfohlenen Tool Adaware, cwshredder und spybot runtergeladen und installier mir die mal.
Als nächste Sicherheitsmaßnahme fliegt der IE in hohem Bogen raus. *hmpf*
Ich hoffe, das wars dann erst mal.

Gruß und danke
Kurt

Dann hoffen wir mal das es dabei bleibt

Hallo zusammen habe die forums gelesen habe dann mit Kaspersky meine Festplatten kontrolliert nach Trojaner habe mitlerweile fetsgestellt dass ich die reihe von Trojaner auf meine festplatten sich gehäusert haben von tropper bis Clicker die ganze Familie!! insgesammt sind es 52 Trojaner und 9 Viren !! wass nun brauche hilfe wäre nett

@ Christakis

Das ist natürlich eine Menge Malware die auf dein System bereits aktiv war oder vielleicht immer noch ist.

Eröffne einen neuen Thread, beschreibe dein Problem ausführlich und versorge uns mit folgenden Informationen:
HJT Log-File und die Virus Log Information von eScan

Dann sehen wir weiter.

btw:
Thread geschlossen!