| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bitte um Hilfe: Trojaner Dropper-Befall unter WinXPWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.03.2006, 16:02
| #1 |
| |  Bitte um Hilfe: Trojaner Dropper-Befall unter WinXP Guten Tag miteinander, leider habe ich mir vor einigen Tagen einen Dropper eingefangen, den ich leider nichtmal namentlich identifizieren kann. (Versuchte Programme: NortonAV05, Stinger, SpybotS&D, AdAwareSE) Da bereits ungezählte Versuche meinerseits den Schädling loszuwerden fehlgeschlagen sind, hoffe ich um Hilfe über dieses Forum. Vielen Dank in jedem Fall im Voraus an diejenigen unter euch, die sich dazu berufen fühlen. Mein System läuft unter WinXP inkl. ServicePack2. NortonAV läuft als Hauptvirenscanner. Im Folgenden habe ich ein Hjackthis-Logfile angefügt, woraus man wie ich hoffe mit geschultem Auge den Schädling identifizieren kann. (Vielleicht Hilft auch die Information, dass der vom Dropper aufgerufene Prozess im Taskmanager 17exmodular.exe oder 63exmodular.exe oder auch 73exmodulas.exe heisst. (wechselt den Namen von mal zu mal) Sobald ich diesen Task abbreche hört das senden der Spammails auf. Allerdings startet sich dieser Prozess in unregelmässigen Abständen neu) HJACKTHIS-LOGFILE: -------------------------- Logfile of HijackThis v1.99.1 Scan saved at 15:35:51, on 13.03.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\Rundll32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe D:\CyberLink DVD Solution\PowerDVD\PDVDServ.exe C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe C:\Programme\Java\jre1.5.0\bin\jusched.exe C:\WINDOWS\system32\svchost.exe d:\Logitechhh\MouseWare\system\em_exec.exe d:\fritzdsl\IGDCTRL.EXE D:\fritzdsl\StCenter.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe D:\Norton\Norton Utilities\NPROTECT.EXE C:\WINDOWS\System32\nvsvc32.exe D:\Norton\SPEEDD~1\nopdb.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\System32\svchost.exe D:\Spybot\TeaTimer.exe D:\Norton\Norton AntiVirus\navapsvc.exe D:\firefox\firefox.exe C:\Dokumente und Einstellungen\Kiesi\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\acrobat5\Acrobat\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\Spybot\SDHelper.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [FinePrint Dispatcher v5] "C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\fpdisp5a.exe" /source=HKLM O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Spybot\TeaTimer.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: FRITZ!DSL Startcenter.lnk = D:\fritzdsl\StCenter.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\ICQLite\ICQLite.exe O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {8127B44C-4193-4ECC-A77B-F1E9390B9E38} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {8127B44C-4193-4ECC-A77B-F1E9390B9E38} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU) O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{1888E745-FEA3-4734-B31D-5E5CF3AA1CDC}: NameServer = 192.168.0.2 O17 - HKLM\System\CS1\Services\Tcpip\..\{1888E745-FEA3-4734-B31D-5E5CF3AA1CDC}: NameServer = 192.168.0.2 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - d:\fritzdsl\IGDCTRL.EXE O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Norton\Norton AntiVirus\navapsvc.exe O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - D:\Norton\Norton Utilities\NPROTECT.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Speed Disk service - Symantec Corporation - D:\Norton\SPEEDD~1\nopdb.exe O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe ---------------------------- Vielen Dank, euer Kiesi |
| Themen zu Bitte um Hilfe: Trojaner Dropper-Befall unter WinXP |
| adobe, antivirus, bho, bitte um hilfe, cyberlink, desktop, drivers, einstellungen, firefox, hijack, hijackthis, internet, internet explorer, monitor, prozess, rundll, scan, schädling, security, security center, senden, software, solution, symantec, system, taskmanager, trojaner, urlsearchhook, vielen dank, windows, windows xp |
Baum-Darstellung