Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner/Virus tarnt sich als Windowsdatein

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.05.2006, 18:01   #1
The Brewmaster
 
Trojaner/Virus tarnt sich als Windowsdatein - Standard

Trojaner/Virus tarnt sich als Windowsdatein



Hallo

Ich habe jetzt so langsam alles probiert und finde nichts was mir hilft.

Das Problem ist das laufend Systemprozesse gestartet werden die im Taskmanager angezeigt werden aber keine Cpu-Last erzeugt. zb rundll32.exe, spool.exe oder ENCWCSVR.exe. Man kann den Prozess beenden dann kommt nach kurzer Zeit ein anderer dazu usw.
Es werden laufend in meinem Windowsverzeichnis neue Ordner erstellt wo ich dann diese Dateien finden kann und sie lösche, aber es kommt einfach wieder was neues dazu. zb Ordner wie Microsoft, System32 oder AppPatch. Diese Ordner wurden auch schon willkürlich in meine Eigenen Dateien angelegt.

Ich weiß das diese Ordner und Dateien vorhanden sein müssen, aber nicht doppelt. Ich merke zwar nicht das da was mit meinem Rechner nicht stimmt, aber irgendwo her muss das ja kommen.

Ich habe bis jetzt mal Adaware, Hjt (war laut Autoauswertung clean), Bitdefender, Trendmicro onlinescan, Panda onlinescan, Security Taskmanger laufen lassen und finde ausser mit Bitdefender nichts. Siw zeigt auch nichts außergewöhnliches an was ungefragt ins Netz gehen will.

Bitdefender gibt an Exploit.Html.Codebase.Exec.Gen, dies habe ich damit schon gelöscht, aber es ist ja anscheinend noch da. Dies scheint aber ein gängiger Fehlalarm zu sein, laut Google.

Sehr komisch ist auch das manchmal ein Internet Explorer Pop up kommt, obwohl ich Firefox nutze. Wie kann so was sein?

Ich nutze Win Xp Sp2 (alle updates), Firefox ohne Scripte und eine Router, falls das was hilft.

Ich hoffe mal das es das Prob ausreichend beschreibt und ihr mir helfen könnt.

Mfg

Manuel

Alt 20.05.2006, 18:41   #2
irrlicht
 
Trojaner/Virus tarnt sich als Windowsdatein - Standard

Trojaner/Virus tarnt sich als Windowsdatein



Hallo Brewmaster,
gehen wir erst mal die Standardsachen durch.
Erstelle ein HijackThis-Log nach dieser Anleitung :
http://www.trojaner-board.de/showthread.php?t=17493
danach machst du einen EScan nach dieser Anleitung :
http://www.trojaner-board.de/showthread.php?t=17492
Beachte bitte beide Anleitungen genau,sonst funktionieren sie nicht richtig und du bekommst und

Irrlicht
__________________


Alt 20.05.2006, 19:13   #3
The Brewmaster
 
Trojaner/Virus tarnt sich als Windowsdatein - Standard

Trojaner/Virus tarnt sich als Windowsdatein



Logfile of HijackThis v1.99.1
Scan saved at 20:12:06, on 20.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
D:\eDonkey2000\edonkey2000.exe
C:\Programme\Security Task Manager\Security.Task.Manger 1.6f.Multilanguage\SpyProtector.exe
C:\Programme\Winamp\Winamp.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems International - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)


Ich hoffe das ist so richtig

Den Scan mach ich mal gleich.
__________________

Alt 20.05.2006, 20:24   #4
felix1
/// Helfer-Team
 
Trojaner/Virus tarnt sich als Windowsdatein - Standard

Trojaner/Virus tarnt sich als Windowsdatein



Worüber wunderst Du Dich:
D:\eDonkey2000\edonkey2000.exe
__________________
LG

Der Felix

Keine Hilfe per PN und E-Mail

Alt 20.05.2006, 20:27   #5
Markus1234
 
Trojaner/Virus tarnt sich als Windowsdatein - Standard

Trojaner/Virus tarnt sich als Windowsdatein



Das Logfile ist sauber - vielleicht wurden bereits Systemdateien manipuliert - evtl. ein Trojaner mit Rootkit-Technik.

Wenn eScan nichts findet (poste aber doch nach Anleitung das Logfile),
dann kannst du dein System noch mit Blacklight(Ersatzlink) und Rootkit Revealer scannen.

mfg,
Markus


Alt 20.05.2006, 21:28   #6
The Brewmaster
 
Trojaner/Virus tarnt sich als Windowsdatein - Standard

Trojaner/Virus tarnt sich als Windowsdatein



Datei C:\PROGRAMME\SOFTWIN\BITDEFENDER8\REGSPY.SYS markiert als not-a-virus:Monitor.Win32.PCAcme.61. Keine Aktion vorgenommen.
Object "lop.com Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\0J8ZK1O1\!update-3700[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\KHU1OR6Z\popsend[1].htm infiziert von "Exploit.HTML.CodeBaseExec" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\KNCJ2V2B\ABoxInst_int14[1].exe infiziert von "Trojan-Downloader.Win32.VB.ft" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\WTAZM1EX\!update-3800[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0J8ZK1O1\!update-3700[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHU1OR6Z\popsend[1].htm infiziert von "Exploit.HTML.CodeBaseExec" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KNCJ2V2B\ABoxInst_int14[1].exe infiziert von "Trojan-Downloader.Win32.VB.ft" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTAZM1EX\!update-3800[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Das findet der eScan, hmmmmm nicht schlecht, für das das vorher quasi nix gefunden wurde.

So bekommt man das noch weg, oder hilft da nix mehr außer Neuinstallieren?

Alt 21.05.2006, 10:07   #7
irrlicht
 
Trojaner/Virus tarnt sich als Windowsdatein - Standard

Trojaner/Virus tarnt sich als Windowsdatein



Hallo Brewmaster,
du benötigst folgende Programme,die du dir über Google suchst und sie von den Originalseiten installierst.
Spybot Search & Destroy- Ewido Security Suite-AdAware Personal(hast du aber schon glaube ich)-Regseeker-Clear Prog 1.4.1 final
Alle fünf installieren ,aber noch nichts laufen lassen.
Spybot,Ewido und Adaware updaten !
Deaktiviere die Systemwiederherstellung (Google weiß wie) und gehe in den abgesicherten Modus (F8 drücken beim Start).
Die drei Programme nacheinander starten und Fullscan machen lassen(Reihenfolge egal) Lösche alles was gefunden wird.
Zurück in den Normalmodus,Systemwiederherstellung kann aktiviert werden.
Regseeker aufrufen,Sprache(Laguages) einstellen,"Registrierung säubern" wählen,darauf achten das unten links der Haken bei"Sicherung vor löschen" drin ist,lösche was gefunden wird,so oft bis nix mehr angezeigt wird.
Clear Prog aufrufen,alle Haken setzen,laufen lassen und löschen was gefunden wird.
Nun sollte Ruhe sein.
Bei Ewido noch den "Guard/Wächter abschalten,gibt sonst Probleme mit deinem AV-Proggi.
Das hier :C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
und Bitdefender dürften sich auch nicht so gut verstehen.Entscheide dich für ein AV-Programm.Zwei Scanner sind nicht doppelt gut,meißtens vertragen sie sich nicht und es gibt Probleme bis zum Absturz.
Irrlicht

Antwort

Themen zu Trojaner/Virus tarnt sich als Windowsdatein
bitdefender, clean, cpu-last, dateien, defender, dll, escan, explorer, fehlalarm, firefox, gelöscht, helfen, internet, internet explorer, langsam, microsoft, neue, ordner, problem, router, rundll, rundll32.exe, security, system32, taskmanager, trojaner/virus, updates




Ähnliche Themen: Trojaner/Virus tarnt sich als Windowsdatein


  1. Win32 Dateien verschieben und löschen sich Virus ggf Trojaner
    Log-Analyse und Auswertung - 01.09.2015 (13)
  2. Nordkorea-Satire "The Interview": Trojaner tarnt sich als Download-App
    Nachrichten - 03.01.2015 (0)
  3. Trojaner,Virus,....es erstellen sich .exe Dateien in den ordnern
    Plagegeister aller Art und deren Bekämpfung - 17.11.2013 (16)
  4. Virus, der sich als Antivirenprog tarnt, "Attentive Antivirus"
    Plagegeister aller Art und deren Bekämpfung - 27.07.2013 (13)
  5. laufwerk öffnet sich selbständig - virus / trojaner?
    Log-Analyse und Auswertung - 15.07.2013 (7)
  6. Virenmail tarnt sich als Bahn-Buchungsbestätigung
    Nachrichten - 15.05.2013 (0)
  7. Rechner verhält sich komisch - Virus, Trojaner,...?
    Plagegeister aller Art und deren Bekämpfung - 10.04.2013 (15)
  8. Pc hängt sich auf nach Virus/Trojaner
    Plagegeister aller Art und deren Bekämpfung - 14.04.2012 (14)
  9. Virus (vermutlich Torjaner) durch Skype übertragen, tarnt sich als "Flashplayer.exe"
    Plagegeister aller Art und deren Bekämpfung - 29.01.2012 (1)
  10. Handelt es sich hierbei um einen Virus/Trojaner o.ä?
    Log-Analyse und Auswertung - 29.11.2011 (2)
  11. Trojaner? Virus? Mozilla hängt sich ständig auf!
    Plagegeister aller Art und deren Bekämpfung - 24.11.2011 (6)
  12. Mac-Trojaner tarnt sich als PDF
    Nachrichten - 24.09.2011 (0)
  13. Ms-search öffnet sich immer (Virus,Trojaner..)
    Plagegeister aller Art und deren Bekämpfung - 07.06.2010 (6)
  14. MSN Virus (www.very-naked.com) tarnt sich als services.exe im ordner Temp!
    Antiviren-, Firewall- und andere Schutzprogramme - 15.01.2008 (2)
  15. IE öffnet sich automatisch - Virus? Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 22.05.2007 (3)
  16. Unbekannter Virus oder Trojaner der sich selbst verbreitet
    Plagegeister aller Art und deren Bekämpfung - 11.01.2007 (3)
  17. Virus oder Trojaner der sich als winamp ausgibt?
    Plagegeister aller Art und deren Bekämpfung - 17.12.2006 (4)

Zum Thema Trojaner/Virus tarnt sich als Windowsdatein - Hallo Ich habe jetzt so langsam alles probiert und finde nichts was mir hilft. Das Problem ist das laufend Systemprozesse gestartet werden die im Taskmanager angezeigt werden aber keine Cpu-Last - Trojaner/Virus tarnt sich als Windowsdatein...
Archiv
Du betrachtest: Trojaner/Virus tarnt sich als Windowsdatein auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.