| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Replizierender TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
04.07.2006, 16:42
| #1 |
| |  Replizierender Trojaner Hi Leute! habe folgendes Problem: mein Virenprogramm (Antivir, Virendefinitionsdatei V6.35.00.142, 04.07.2006 / Suchengine V7.01.00.19, 04.07.2006) zeigt mir dauernd einen Trojaner in folgenden Dateien an: systf.exe und backup[1].exe Den Trojaner kann ich im Moment nicht benennen (da es im Moment Gott sei Dank klappt), aber sobald ich die Datei lösche, repliziert diese sich neu, so dass immer wieder die gleiche Virenmeldung kommt. Vielleicht kann mir aufgrund der vagen Angaben ja schonmal helfen, wenn die Fehlermeldung noichmal kommt, schreieb ich sie hier nochmal auf. Grüße, Stephan |
|
04.07.2006, 16:46
| #2 |
  | Replizierender Trojaner mOIn funrox,
__________________wo genau (Pfadangabe)  findet AntiVir beanstandete Datei ? MFG |
|
04.07.2006, 16:55
| #3 |
| | Replizierender Trojaner Die Datei ist hier zu finden:
__________________C:/Windows/system32/systf.exe Der Trojaner, der angezeigt wird ist: Trojanisches Pferd "TR/Dldr.Small.cgs.33" Die nächste Datei: C:/Dokumente und Einstellungen/.../update[1].exe Trojanisches Pferd "TR/Dldr.Aegn.aef.21" Danke für die schnelle Antwort, hoffe, Du kannst mir helfen. Greetings, funrox |
|
04.07.2006, 17:20
| #4 |
| | Replizierender Trojaner hallo lade dir doch ma ClearProg und lass es laufen "alles löschen anhaken" http://www.zdnet.de/downloads/prg/2/2/deAT22-wc.html und C:/Windows/system32/systf.exe bei Virustotal überprüfen lassen (kann nen bischen dauern) http://www.virustotal.com/en/indexf.html MFG |
|
05.07.2006, 17:19
| #5 |
| |  Replizierender Trojaner Hmm, danke für Deine Hilfe. Aber das Problem taucht wieder auf. Irgendwie schaffe ich es nicht, dieses Drecks-Ding von meiner Platte zu nehmen. Es taucht immer wieder auf! |
|
05.07.2006, 17:35
| #6 | |
  | Replizierender Trojaner Hallo, Zitat:
Grüße Wildone |
|
05.07.2006, 17:51
| #7 |
| | Replizierender Trojaner Also: STATUS: FINISHEDComplete scanning result of "systf.exe", received in VirusTotal at 07.05.2006, 18:50:18 (CET). Antivirus Version Update Result AntiVir 6.35.0.20 07.05.2006 TR/Dldr.Small.cqs.33 Authentium 4.93.8 07.05.2006 no virus found Avast 4.7.844.0 07.05.2006 no virus found AVG 386 07.04.2006 Downloader.Generic2.CPH BitDefender 7.2 07.05.2006 Trojan.Downloader.PR CAT-QuickHeal 8.00 07.05.2006 (Suspicious) - DNAScan ClamAV devel-20060426 07.04.2006 no virus found DrWeb 4.33 07.05.2006 no virus found eTrust-InoculateIT 23.72.59 07.04.2006 no virus found eTrust-Vet 12.6.2287 07.05.2006 no virus found Ewido 3.5 07.05.2006 Downloader.Small.cqs Fortinet 2.77.0.0 07.05.2006 W32/Agent.AEF!tr.dldr F-Prot 3.16f 07.05.2006 no virus found F-Prot4 4.2.1.29 07.05.2006 no virus found Ikarus 0.2.65.0 07.05.2006 no virus found Kaspersky 4.0.2.24 07.05.2006 Trojan-Downloader.Win32.Small.cqs McAfee 4800 07.05.2006 Downloader-AWH Microsoft 1.1481 07.01.2006 no virus found NOD32v2 1.1644 07.04.2006 Win32/TrojanDownloader.Agent.AEF Norman 5.90.23 07.05.2006 W32/DLoader.AAPE Panda 9.0.0.4 07.05.2006 Trj/Mitglieder.JB Sophos 4.07.0 07.05.2006 no virus found Symantec 8.0 07.05.2006 no virus found TheHacker 5.9.8.169 07.04.2006 Trojan/Downloader.Small.cqs UNA 1.83 07.05.2006 TrojanDownloader.Win32.Small VBA32 3.11.0 07.04.2006 Trojan-Downloader.Win32.Small.cqs VirusBuster 4.3.7:9 07.05.2006 Trojan.DL.Small.CMH Aditional Information File size: 10125 bytes MD5: e639facbbadb9923d39f7e0b0846fe64 Grüße, funrox |
|
05.07.2006, 17:58
| #8 |
| | Replizierender Trojaner |
|
06.07.2006, 06:20
| #9 |
| | Replizierender Trojaner Logfile of HijackThis v1.99.1 Scan saved at 07:17:47, on 06.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Ahead\InCD\InCDsrv.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\HP\hpcoretech\hpcmpmgr.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Stephan\Desktop\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://webmail.superkabel.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://balabolka.biz/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://balabolka.biz/start.html R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://balabolka.biz/start.html R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:80 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 127.0.0.1:80 O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: DAP Bar - {62999427-33FC-4baf-9C9C-BCE6BD127F08} - C:\Programme\DAP\DAPIEBar.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb09.exe O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [startup] C:\WINDOWS\system32\winlogon32.exe O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [PathNvidiaTV] C:\Program Files\Gigabyte\Nvidia\patchnvidiaTVout.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [VGAUtil] C:\Programme\GigaByte\VGA Utility Manager\G-VGA.exe O4 - HKLM\..\Run: [RegSvr32] C:\WINDOWS\system32\msmsgs.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\npjpi150_06.dll O9 - Extra button: Corel Network monitor worker - {5F0AA708-E304-4FC2-9D90-B0ECE26101EE} - C:\WINDOWS\system32\intlmain.dll (file missing) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5F0AA708-E304-4FC2-9D90-B0ECE26101EE} - C:\WINDOWS\system32\intlmain.dll (file missing) O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: Corel Network monitor worker - {5F0AA708-E304-4FC2-9D90-B0ECE26101EE} - C:\WINDOWS\system32\intlmain.dll (file missing) (HKCU) O9 - Extra 'Tools' menuitem: Corel Network monitor worker - {5F0AA708-E304-4FC2-9D90-B0ECE26101EE} - C:\WINDOWS\system32\intlmain.dll (file missing) (HKCU) O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O15 - Trusted Zone: *.adgate.info O15 - Trusted Zone: *.dollarrevenue.com O15 - Trusted Zone: *.elitemediagroup.net O15 - Trusted Zone: *.errorsafe.com O15 - Trusted Zone: *.imagesrvr.com O15 - Trusted Zone: *.matcash.com O15 - Trusted Zone: *.media-motor.com O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.mediatickets.net O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.snipernet.biz O15 - Trusted Zone: *.snipernet.us O15 - Trusted Zone: *.systemdoctor.com O15 - Trusted Zone: *.winantivirus.com O15 - Trusted Zone: *.winfixer.com O15 - Trusted Zone: *.adgate.info (HKLM) O15 - Trusted Zone: *.dollarrevenue.com (HKLM) O15 - Trusted Zone: *.elitemediagroup.net (HKLM) O15 - Trusted Zone: *.imagesrvr.com (HKLM) O15 - Trusted Zone: *.matcash.com (HKLM) O15 - Trusted Zone: *.media-motor.com (HKLM) O15 - Trusted Zone: *.mediatickets.net (HKLM) O15 - Trusted Zone: *.snipernet.biz (HKLM) O15 - Trusted Zone: *.snipernet.us (HKLM) O15 - Trusted Zone: *.systemdoctor.com (HKLM) O15 - Trusted Zone: *.winantivirus.com (HKLM) O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/AdultAccess/ie/bridge-c24.cab O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab O16 - DPF: {4D7F48C0-CB49-4EA6-97D4-04F4EACC2F3B} - http://sib1.od2.com/common/Member/ClientInstall/10.20.0002/OCI/setup.exe O16 - DPF: {527196A4-B1A3-4647-931D-37BA5AF23037} - http://www.max-stats.com/partner/open.exe O16 - DPF: {59136DB4-6CA3-4B40-8F2F-BBF84B6F1E91} (Attachment Upload Control) - https://stream.web.de/mail/activex/mail_upload_11213.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1123703869609 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123703857453 O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://pdl.stream.aol.com/downloads/aol/unagi/ampx_en_dl.cab O20 - AppInit_DLLs: C:\WINDOWS\system32\win_x.dll O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Ahead\InCD\InCDsrv.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PACSPTISVR - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Pacsptisvr.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Programme\Gemeinsame Dateien\Sony Shared\AVLib\Sptisrv.exe O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
|
06.07.2006, 07:49
| #10 |
| > MalwareDB | Replizierender Trojaner Hallo, die Dateien C:\WINDOWS\system32\winlogon32.exe C:\WINDOWS\system32\msmsgs.exe online bei http://www.virustotal.com scannen lassen und das Ergebnis hier posten. Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
06.07.2006, 17:53
| #11 |
| | Replizierender Trojaner Bei beiden wurde kein Virus gefunden. Sorry! |
|
06.07.2006, 17:56
| #12 |
| /// Winkelfunktion /// TB-Süch-Tiger™ |  Replizierender Trojaner Winlogon32.exe deutet auf eine Agobot-Variante hin. Möglicherweise ist die Datei gesperrt und Virustotal bekommt somit Null Bytes => Kein Virus gefunden. Bei dieser schon recht zugemüllten Kiste wäre ein Neuaufsetzen ratsam.
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
06.07.2006, 18:04
| #13 | |
| > MalwareDB | Replizierender Trojaner Hallo, Zitat:
Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
|
07.07.2006, 06:17
| #14 |
| | Replizierender Trojaner STATUS: FINISHEDComplete scanning result of "winlogon32.exe", received in VirusTotal at 07.07.2006, 07:16:34 (CET). Antivirus Version Update Result AntiVir n - no virus found Authentium n - no virus found Avast n - no virus found AVG n - no virus found BitDefender n - no virus found CAT-QuickHeal n - no virus found ClamAV n - no virus found DrWeb n - no virus found eTrust-InoculateIT n - no virus found eTrust-Vet n - no virus found Ewido n - no virus found Fortinet n - no virus found F-Prot n - no virus found F-Prot4 n - no virus found Ikarus n - no virus found Kaspersky n - no virus found McAfee n - no virus found Microsoft n - no virus found NOD32v2 n - no virus found Norman n - no virus found Panda n - no virus found Sophos n - no virus found Symantec n - no virus found TheHacker n - no virus found UNA n - no virus found VBA32 n - no virus found VirusBuster n - no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 packers: UPX STATUS: FINISHEDComplete scanning result of "msmsgs.exe", received in VirusTotal at 07.07.2006, 07:17:32 (CET). Antivirus Version Update Result AntiVir n - no virus found Authentium n - no virus found Avast n - no virus found AVG n - no virus found BitDefender n - no virus found CAT-QuickHeal n - no virus found ClamAV n - no virus found DrWeb n - no virus found eTrust-InoculateIT n - no virus found eTrust-Vet n - no virus found Ewido n - no virus found Fortinet n - no virus found F-Prot n - no virus found F-Prot4 n - no virus found Ikarus n - no virus found Kaspersky n - no virus found McAfee n - no virus found Microsoft n - no virus found NOD32v2 n - no virus found Norman n - no virus found Panda n - no virus found Sophos n - no virus found Symantec n - no virus found TheHacker n - no virus found UNA n - no virus found VBA32 n - no virus found VirusBuster n - no virus found Aditional Information File size: 0 bytes MD5: d41d8cd98f00b204e9800998ecf8427e SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 packers: UPX |
|
07.07.2006, 06:23
| #15 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Replizierender Trojaner Jupp, das sind gelockte Dateien. Bei beiden steht Zitat:
Also, System vom Netz nehmen und neu aufsetzen.
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Replizierender Trojaner |
| antivir, aufgrund, backup, dateien, dauernd, fehlermeldung, folge, folgenden, folgendes, helfen, immer wieder, leute, meldung, neu, problem, programm, schonmal, sobald, suche, troja, trojane, trojaner, virenmeldung, virenprogramm |
Linear-Darstellung
