|
Plagegeister aller Art und deren Bekämpfung: TR/Hijack.Cop.5Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.08.2006, 00:36 | #1 |
| TR/Hijack.Cop.5 Hallo zusammen, hatte das zweifelhafte Vergnügen, bei Freunden ein total verseuchtes, älteres System (bis dato ohne Firewall) zu untersuchen. Betriebssystem: Win98. Symptome: -System wirkt insgesamt langsam. Die Dame des Hauses beklagt Probleme mit best. Internetseiten (Banking, ebay...) -Installiere ein erstes Tool (AdAware). AntiVir meldet dabei plötzlich TR/Hijack.Cop.5. Dieser wird gelöscht (eine TMP-Datei). -AntiVir findet bei der normalen Virensuche nichts. -AdAware lässt sich nicht installieren. System stürzt öfters ab (schwere Ausnahmefehler) -ZoneAlarm installiert. -SpyBot installiert. Div. Malware, Adware, Spyware gelöscht. -System wird nicht stabiler. Versucht unvermittelt, sich mit dem Internet zu verbinden. -AntiVir uninstall & IE6 Neuinstall. Aber: Norton lässt sich nicht installieren, hängt sich bei der Installation auf. - Weitere Abstürze, weitere unerklärliche Verbindungsversuche mit dem Netz. Leider habe ich eben erst von Hijack.This erfahren. Werde gern morgen ein Log nachliefern. Gibt es vielleicht schon jetzt sachdienliche Hinweise? Habe im Netz NICHTS zu diesem Trojaner gefunden?!! Ist davon auszugehen, dass der mit AntiVir gelöscht ist? Oder kann er weiter unentdeckt im Hintergrund sitzen und nur eine Kopie gelöscht worden sein? Welche weiteren Maßnahmen sollte ich ergreifen? Welche Tools nutzen? Oder sollte ich gleich format c: bzw. die Mülltonne empfehlen? Ich danke allen Experten herzlich im Voraus! Herzlichen Gruß, RWN |
03.08.2006, 00:45 | #2 |
> MalwareDB | TR/Hijack.Cop.5 Hallo,
__________________wo wird dieser Virus gefunden? Poste ein HiJackThis Logfile, editiere es bitte wie beschrieben. Gruß Schrulli
__________________ |
03.08.2006, 00:59 | #3 | |
| TR/Hijack.Cop.5Zitat:
Aus dem Gedächtnis: der Virusalarm kam anscheinend durch das AntiVir-Überwachungstool (kenn das Teil weniger, hatte sonst Norton), als ich einige Tools runtergeladen hab (AdAware bei lavasoftusa.com) oder kurz danach, auf jeden Fall meine ich, dass ich online war. Der normale AntiVir Durchlauf hat wie gesagt 0 Resultate erbracht. Der Virus hatte einen kryptischen Namen (im Stile 0dabc.tmp). Das Verzeichnis müsste C:/Temp gewesen sein. In diesem befand sich auch erstaunlich viel Mist, ebenso in D:/Temp, was mich sehr überrascht hat. An die 200 .tmp & .log-Dateien (manche mit 0 Byte) und einige vom selben Tag. Jedenfalls ein ganz merkwürdiges System. Hab schon dem ein oder anderen Kollegen helfen können, aber hier war ich bis jetzt mit meinem Latinum am Ende. |
03.08.2006, 13:52 | #4 |
| TR/Hijack.Cop.5 Hallo zusammen, ich habe seit gestern exakt das gleiche Problem mit diesem Trojaner auf einem XP-Professional System mit gerade zurück gesichertem Image wegen Festplattendefekt. Es scheint ein völlig neuer Trojaner zu sein, denn ich habe auch noch nichts darüber im Internet bzw. hier gefunden. Gefunden hat ihn Antivir in der neuesten Version beim Versuch der Installation eines Datenbank-Programms (Vereinsverwaltung) von CD (Vorgang wird dann abgebrochen). Die Datei lag im normalen Temp-Verzeichnis und lies sich problemlos löschen, kam aber bei jedem weiteren Installationsversuch wieder. Eine sofortige Suche mit Adaware und AntiVir ohne Befund. Beide Programme waren bereits installiert. Das Diskettenlaufwerk liest seit dem nicht mehr. ZoneAlarm ist aktiv, meldet aber nichts. Da ich vorher mehrere Updates (Firefox, ZoneAlarm, Antivir, Adaware, Windows) aus dem Netz gezogen habe, könnte er dabei gewesen sein. Mit dem Taskmanager konnte ich bisher keinen Prozeß identifizieren, werde aber mit den Infos aus diesem Forum noch mal suchen. Antivir richtet jedenfalls nichts aus bzw. beseitigt ihn nicht final. Ich poste später noch das logfile von Hijack.this Gruß Peter Michel |
03.08.2006, 20:04 | #5 |
| TR/Hijack.Cop.5 Hallo, hier ist das versprochene Logfile. Ich hoffe, irgendjemand kann heute noch dazu was sagen. Wäre sehr nett! Logfile of HijackThis v1.99.1 Scan saved at 21:00:52, on 03.08.06 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\MDM.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\VCONTROL.EXE C:\WINDOWS\SYSTEM\EUSEXE.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\PROGRAMME\SPYBOT - SEARCH & DESTROY\TEATIMER.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE C:\PROGRAMME\TELEDAT\IWATCH.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\PROGRAMME\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.hebammen.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [ScanRegistry] c:\windows\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] c:\windows\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [IrMon] IrMon.exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [ASUSNBHK] C:\WINDOWS\VCONTROL.EXE O4 - HKLM\..\Run: [Tweak UI] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [SBMX] C:\WINDOWS\SYSTEM\sbmx.exe O4 - HKLM\..\Run: [ICH Synth] eusexe.exe O4 - HKLM\..\Run: [COMSMDEXE] comsmd.exe -on O4 - HKLM\..\Run: [FinePrint Dispatcher] C:\WINDOWS\SYSTEM\fpdisp3a.exe O4 - HKLM\..\Run: [DU Meter] C:\PROGRAM FILES\DU METER\DUMETER.EXE O4 - HKLM\..\Run: [AudioHQ] C:\PROGRAM FILES\CREATIVE\SBLIVE\AudioHQ\AHQTB.EXE O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O12 - Plugin for .mov: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin.dll O12 - Plugin for .mid: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O12 - Plugin for .asp: C:\PROGRA~1\INTERN~1\PLUGINS\nppdf32.dll O12 - Plugin for .au: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin2.dll O12 - Plugin for .mp3: C:\PROGRA~1\INTERN~1\PLUGINS\npqtplugin4.dll O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} - O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 192.168.121.252,192.168.121.253 |
03.08.2006, 22:47 | #6 |
| TR/Hijack.Cop.5 Hi, Ich habe das Problem auch, allerdings habe ich es beim Deinstallieren von einem AMD Prog gehabt. AMD Power-Setup und Powermonitor Mein System ist: Winschrott XP SP2 AMD64//3800 AsRock 939/Dual-SATA 1 Gig ram IE hab ich benutze aber FireFox 1.5.0 Installierte Progs: AntiVir,BF2,EA Downloader,ATi tool System wird sehr langsam bei Spielen und im I-Net surfen holt es auch keine Wurst mehr vom Teller. hier noch der Logfile: Logfile of HijackThis v1.99.1 Scan saved at 23:29:34, on 03.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\ATI Technologies\ATI.ACE\cli.exe C:\Programme\ATITool\ATITool.exe C:\Programme\SpeedFan\speedfan.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\HiJack\HijackThis.exe O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [AMD_Display] C:\Programme\AMD\AMD Power Monitor\AMD_PwrMon.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [RMClock] "C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\Alt\21706\............................\2170611\RMClock.exe" O4 - HKCU\..\Run: [EA Core] C:\Programme\Electronic Arts\EA Downloader\Core.exe -silent O4 - HKCU\..\Run: [SF] C:\Programme\SpeedFan\speedfan.exe O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\Besitzer\Eigene Dateien\HijackThis.exe /startupscan O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{8E69F86F-CAB7-4670-9833-9F9F35092D8B}: NameServer = .......................... O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll |
04.08.2006, 07:35 | #7 |
| TR/Hijack.Cop.5 Hallo zusammen, Gott sei Dank, ein Fehlalarm von AntiVir. http://forum.antivir-pe.de/thread.php?postid=91151#post91151 Hab mir sowas schon gedacht, da er bei mir am nächsten Tag und nach neuem Update von Antivir nicht mehr auftrat. Gruß Peter Michel |
04.08.2006, 16:07 | #8 | |
| TR/Hijack.Cop.5Zitat:
Ich hatte auch schon an den Zusammenhang AdAware/AntiVir gedacht, da wir ja beide gerade mit den Progs zu tun hatten! Was für ein blöder Zufall: Ich checke das System, installiere AdAware zum Helfen, mache den Leuten nach der Fehlermeldung wenig Hoffnungen - und dann ist ausgerechnet in dem Moment ein Zusammentreffen von AntiVir und AdAware schuld! |
04.08.2006, 16:10 | #9 |
> MalwareDB | TR/Hijack.Cop.5 Hallo, @Mogens: Bitte erstelle einen neuen Thread. @RWN: Es ist durchaus nicht unüblich, dass sich zwei AV Prorgamme beharken. Der Sinn und Zweck erschlißt sich mir da auch nicht so ganz... Gruß Schrulli
__________________ If every computer is running a diverse ecosystem, crackers will have no choice but to resort to small-scale, targetted attacks, and the days of mass-market malware will be over[...]. Stuart Udall |
05.08.2006, 21:01 | #10 |
| TR/Hijack.Cop.5 Mich hatts au erwischt!!!! Jetz grad, ich habe antivir 7 und zonealarm druff und ad-aware SE!! Alle programme sind auf neusten stand!!! Und habe erst seid 3 tagen das win neu gemacht und hatte erst alle programme mit aktuellsten stand druff, und dan bin ich erst ins internet!!! Ich nehme die hacker dieser welt sehr ernst Und ich hatte nix laufen, nur aufeinmal kamm die meldung und dan nach 1 min noch ne mailware! |
05.08.2006, 21:16 | #11 | |
| TR/Hijack.Cop.5 Guten Abend, Zitat:
Alles dazu gibzs hier . Aus Deiner Beschreibung werde ich net ganz schlau...... Aber dies im anderen Thread! Gruß Mellosun |
14.08.2006, 16:21 | #12 | |
| TR/Hijack.Cop.5Zitat:
Oder würdest du Anti-Adware/Spyware Progs wie AdAware/Spybot als nutzlos einstufen? Das könnte ich nicht nachvollziehen. |
Themen zu TR/Hijack.Cop.5 |
abstürze, adaware, adware, antivir, antivir meldet, firewall, format, gelöscht, gelöscht worden, hintergrund, hängt, installation, internetseite, log, malware, maßnahme, norton, probleme, rojaner gefunden, seite, seiten, spyware, system, tool, tools, total, trojaner, trojaner gefunden, win |