|
Plagegeister aller Art und deren Bekämpfung: Trojaner/Virus tarnt sich als WindowsdateinWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
20.05.2006, 18:01 | #1 |
| Trojaner/Virus tarnt sich als Windowsdatein Hallo Ich habe jetzt so langsam alles probiert und finde nichts was mir hilft. Das Problem ist das laufend Systemprozesse gestartet werden die im Taskmanager angezeigt werden aber keine Cpu-Last erzeugt. zb rundll32.exe, spool.exe oder ENCWCSVR.exe. Man kann den Prozess beenden dann kommt nach kurzer Zeit ein anderer dazu usw. Es werden laufend in meinem Windowsverzeichnis neue Ordner erstellt wo ich dann diese Dateien finden kann und sie lösche, aber es kommt einfach wieder was neues dazu. zb Ordner wie Microsoft, System32 oder AppPatch. Diese Ordner wurden auch schon willkürlich in meine Eigenen Dateien angelegt. Ich weiß das diese Ordner und Dateien vorhanden sein müssen, aber nicht doppelt. Ich merke zwar nicht das da was mit meinem Rechner nicht stimmt, aber irgendwo her muss das ja kommen. Ich habe bis jetzt mal Adaware, Hjt (war laut Autoauswertung clean), Bitdefender, Trendmicro onlinescan, Panda onlinescan, Security Taskmanger laufen lassen und finde ausser mit Bitdefender nichts. Siw zeigt auch nichts außergewöhnliches an was ungefragt ins Netz gehen will. Bitdefender gibt an Exploit.Html.Codebase.Exec.Gen, dies habe ich damit schon gelöscht, aber es ist ja anscheinend noch da. Dies scheint aber ein gängiger Fehlalarm zu sein, laut Google. Sehr komisch ist auch das manchmal ein Internet Explorer Pop up kommt, obwohl ich Firefox nutze. Wie kann so was sein? Ich nutze Win Xp Sp2 (alle updates), Firefox ohne Scripte und eine Router, falls das was hilft. Ich hoffe mal das es das Prob ausreichend beschreibt und ihr mir helfen könnt. Mfg Manuel |
20.05.2006, 18:41 | #2 |
| Trojaner/Virus tarnt sich als Windowsdatein Hallo Brewmaster,
__________________gehen wir erst mal die Standardsachen durch. Erstelle ein HijackThis-Log nach dieser Anleitung : http://www.trojaner-board.de/showthread.php?t=17493 danach machst du einen EScan nach dieser Anleitung : http://www.trojaner-board.de/showthread.php?t=17492 Beachte bitte beide Anleitungen genau,sonst funktionieren sie nicht richtig und du bekommst und Irrlicht |
20.05.2006, 19:13 | #3 |
| Trojaner/Virus tarnt sich als Windowsdatein Logfile of HijackThis v1.99.1
__________________Scan saved at 20:12:06, on 20.05.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe C:\WINDOWS\system32\oodag.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe C:\WINDOWS\System32\alg.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\T-Online\DSL-Manager\TODslMgr.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe C:\Programme\Thunderbird-Tray\TBTray.exe C:\WINDOWS\System32\svchost.exe C:\Programme\T-Online\DSL-Manager\TODslSvc.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\taskmgr.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Programme\Miranda IM\miranda32.exe C:\Programme\Softwin\BitDefender8\bdnagent.exe C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe C:\Programme\Softwin\BitDefender8\vsserv.exe c:\programme\softwin\bitdefender8\bdmcon.exe D:\eDonkey2000\edonkey2000.exe C:\Programme\Security Task Manager\Security.Task.Manger 1.6f.Multilanguage\SpyProtector.exe C:\Programme\Winamp\Winamp.exe C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe" O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing) O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing) O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems International - C:\Programme\T-DSL SpeedManager\TSMSvc.exe O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing) O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing) Ich hoffe das ist so richtig Den Scan mach ich mal gleich. |
20.05.2006, 20:24 | #4 |
/// Helfer-Team | Trojaner/Virus tarnt sich als Windowsdatein Worüber wunderst Du Dich: D:\eDonkey2000\edonkey2000.exe
__________________ LG Der Felix Keine Hilfe per PN und E-Mail |
20.05.2006, 20:27 | #5 |
| Trojaner/Virus tarnt sich als Windowsdatein Das Logfile ist sauber - vielleicht wurden bereits Systemdateien manipuliert - evtl. ein Trojaner mit Rootkit-Technik. Wenn eScan nichts findet (poste aber doch nach Anleitung das Logfile), dann kannst du dein System noch mit Blacklight(Ersatzlink) und Rootkit Revealer scannen. mfg, Markus |
20.05.2006, 21:28 | #6 |
| Trojaner/Virus tarnt sich als Windowsdatein Datei C:\PROGRAMME\SOFTWIN\BITDEFENDER8\REGSPY.SYS markiert als not-a-virus:Monitor.Win32.PCAcme.61. Keine Aktion vorgenommen. Object "lop.com Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen. Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\0J8ZK1O1\!update-3700[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\KHU1OR6Z\popsend[1].htm infiziert von "Exploit.HTML.CodeBaseExec" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\KNCJ2V2B\ABoxInst_int14[1].exe infiziert von "Trojan-Downloader.Win32.VB.ft" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\WTAZM1EX\!update-3800[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0J8ZK1O1\!update-3700[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHU1OR6Z\popsend[1].htm infiziert von "Exploit.HTML.CodeBaseExec" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KNCJ2V2B\ABoxInst_int14[1].exe infiziert von "Trojan-Downloader.Win32.VB.ft" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTAZM1EX\!update-3800[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen. Das findet der eScan, hmmmmm nicht schlecht, für das das vorher quasi nix gefunden wurde. So bekommt man das noch weg, oder hilft da nix mehr außer Neuinstallieren? |
21.05.2006, 10:07 | #7 |
| Trojaner/Virus tarnt sich als Windowsdatein Hallo Brewmaster, du benötigst folgende Programme,die du dir über Google suchst und sie von den Originalseiten installierst. Spybot Search & Destroy- Ewido Security Suite-AdAware Personal(hast du aber schon glaube ich)-Regseeker-Clear Prog 1.4.1 final Alle fünf installieren ,aber noch nichts laufen lassen. Spybot,Ewido und Adaware updaten ! Deaktiviere die Systemwiederherstellung (Google weiß wie) und gehe in den abgesicherten Modus (F8 drücken beim Start). Die drei Programme nacheinander starten und Fullscan machen lassen(Reihenfolge egal) Lösche alles was gefunden wird. Zurück in den Normalmodus,Systemwiederherstellung kann aktiviert werden. Regseeker aufrufen,Sprache(Laguages) einstellen,"Registrierung säubern" wählen,darauf achten das unten links der Haken bei"Sicherung vor löschen" drin ist,lösche was gefunden wird,so oft bis nix mehr angezeigt wird. Clear Prog aufrufen,alle Haken setzen,laufen lassen und löschen was gefunden wird. Nun sollte Ruhe sein. Bei Ewido noch den "Guard/Wächter abschalten,gibt sonst Probleme mit deinem AV-Proggi. Das hier :C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe und Bitdefender dürften sich auch nicht so gut verstehen.Entscheide dich für ein AV-Programm.Zwei Scanner sind nicht doppelt gut,meißtens vertragen sie sich nicht und es gibt Probleme bis zum Absturz. Irrlicht |
Themen zu Trojaner/Virus tarnt sich als Windowsdatein |
bitdefender, clean, cpu-last, dateien, defender, dll, escan, explorer, fehlalarm, firefox, gelöscht, helfen, internet, internet explorer, langsam, microsoft, neue, ordner, problem, router, rundll, rundll32.exe, security, system32, taskmanager, trojaner/virus, updates |