Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
iddC.tmp.exe Trojaner

iddC.tmp.exe Trojaner


Log-Analyse und Auswertung: iddC.tmp.exe Trojaner

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.11.2006, 15:53   #1
Lennix
 
iddC.tmp.exe Trojaner - Standard

iddC.tmp.exe Trojaner


Tach,

also ich hoff ihr könnt mir helfen, bei mir kommt nach paar min nach nem Systemstart immer eine Warnung:

Von iddC.tmp

NON HO TRAVATO NESSUN MODEM PER LA CONNESSIONE


Keine Ahnung was das für ne sprache is

Und nach diesem Zeitpunkt startet sich der Prozess iddC.tem.exe!


Ich hoffe ihr könnt mir helfen ihn wieder loszukriegen!


Danke schon mal im Vorraus!


Code:
ATTFilter
Logfile of HijackThis v1.99.1
Scan saved at 15:47:56, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802060031}\Update.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Xfire\Xfire.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\TEMP\win79.tmp.exe
C:\WINDOWS\TEMP\iddC.tmp.exe
C:\WINDOWS\system32\taskmgr.exe
C:\DOKUME~1\Lennix!\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O4 - HKLM\..\Run: [ICQ Lite] "d:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
Geändert von Lennix (19.11.2006 um 16:49 Uhr)

Alt 19.11.2006, 17:19   #2
Lennix
 
iddC.tmp.exe Trojaner - Standard

iddC.tmp.exe Trojaner


UPDATE


Logfile of HijackThis v1.99.1
Scan saved at 17:18:07, on 19.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\MsPMSPSv.exe
C:\WINDOWS\Explorer.EXE
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802060031}\Update.exe
C:\WINDOWS\System32\svchost.exe
D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
D:\Programme\Xfire\Xfire.exe
C:\WINDOWS\TEMP\win79.tmp.exe
D:\Programme\GUILD WARS\Gw.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Lennix!\LOKALE~1\Temp\Rar$EX00.094\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
O4 - HKLM\..\Run: [ICQ Lite] "d:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [amd_dc_opt] "C:\Programme\AMD\amd_dc_opt\amd_dc_opt.exe"
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - d:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
__________________
Alt 19.11.2006, 17:44   #3
Njall
 
iddC.tmp.exe Trojaner - Standard

iddC.tmp.exe Trojaner


Hi

Also die Sprache ist Italienisch und das heisst:
"Es wurde kein Modem für die Verbindung gefunden"..

Das deutet für mich auf einen Dialer hin.

Check mal die Files bei Virustotal.com

C:\WINDOWS\TEMP\win79.tmp.exe

(Schmeiss eventuell mal alles aus deinem Temp Verz. raus, sollte an sich nix passieren dabei, eventuell ändert der den Namen bei jedem Start).

C:\Programme\Gemeinsame Dateien\{DC7CE98C-08A3-1031-0703-060802
060031}\Update.exe

C:\WINDOWS\system32\CTsvcCDA.exe
C:\WINDOWS\system32\MsPMSPSv.exe

Lg
__________________
Alt 19.11.2006, 18:37   #4
Lennix
 
iddC.tmp.exe Trojaner - Standard

iddC.tmp.exe Trojaner


Also ich hab die Datein hochgeladen und wurden gescannt!

Haben aber nirgends einen Virus gefunden!


Aber dieses Fenster kommt immer noch *grrr*

Und im temp verzeichniss kann ich nicht alle datein löschen!

Alt 19.11.2006, 19:41   #5
Njall
 
iddC.tmp.exe Trojaner - Standard

iddC.tmp.exe Trojaner


Hi

packed die Datei

C:\WINDOWS\TEMP\win79.tmp.exe

in ein RAR oder Zip und stell sie mir irgendwo rauf wo ich sie mir runterladen kann, ich schau mir die dann genauer an und sage dir was Sache ist

lg

Welche Files im Temp Verz. kannst du nicht löschen ?
(Welche Programme rennen gerade ? )


Alt 19.11.2006, 19:56   #6
Lennix
 
iddC.tmp.exe Trojaner - Standard

iddC.tmp.exe Trojaner


Also die Win79.tmp datei gibts nicht mehr!

Sind nur noch:

idd1D.tmp
idd2B.tmp
idd2C.tmp
idd19.tmp
idd20.tmp
win1C.tmp
win1F.tmp
win2A.tmp
win18.tmp
22 -29 jeweils win**.tmp

Drin! Ich glaub die win79.tmp hab ich gelöscht!




Und löschen kann ich davon die "win1C.tmp" datei nicht!
Soll ich dir die Datei mal packen?


Auch wenn ich keine Programme mehr offen hab!


gruß

Alt 19.11.2006, 20:00   #7
Sunny
Administrator
> Competence Manager
 
iddC.tmp.exe Trojaner - Standard

iddC.tmp.exe Trojaner


Zitat:
Zitat von Lennix Beitrag anzeigen
Also ich hab die Datein hochgeladen und wurden gescannt!

Haben aber nirgends einen Virus gefunden!
Das mag wohl im ersten Moment richtig sein, hast du denn mal die Größe der Datei kontrolliert?! Diese lag sicherlich bei der Auswertung bei 0Kb, das ist ein Selbstschutz des Trojaners bzw. Schädlings.

Versuch daher mal folgendes, benenne die Datei win79.tmp.exe um, in z.B. Virus.exe, lass diese dann nochmals auswerten und poste das Ergebnis. (alles kopieren und hier einfügen in deinen Beitrag!)

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 19.11.2006, 20:09   #8
Njall
 
iddC.tmp.exe Trojaner - Standard

iddC.tmp.exe Trojaner


Hi

Ja gute Idee, ich hoffe nur nicht das der seinen Namen ändert, aber auch dann finden wir ihn

PM Sunny

Alt 19.11.2006, 20:17   #9
Lennix
 
iddC.tmp.exe Trojaner - Standard

iddC.tmp.exe Trojaner


Also ich hab nen restart gemacht, und alles war weg!

Gut, aber nach 10min kam dieses Italienische fenster wieder und es waren wieder 2 Prozesse offen und 2 Datein im Temp ordner!

Dateinamen:

idd4.tmp
win3.tmp


Beide bei Totalvirus.com hochgeladen und diesmal haben sie ne menge gefunden!



Werden gerade noch gescannt! Werd sie gleich posten!

Antwort

Themen zu iddC.tmp.exe Trojaner
button, cdrom, dateien, excel, explorer, helfen, hijack, hijackthis, hotkey, internet, internet explorer, logfile, messenger, microsoft, office, programme, prozess, software, system32, systemstart, teamspeak, temp, trojane, trojaner, warnung, windows, windows xp, windows\temp


« Vaters rechner | Meine Log-File »


Zum Thema iddC.tmp.exe Trojaner - Tach, also ich hoff ihr könnt mir helfen, bei mir kommt nach paar min nach nem Systemstart immer eine Warnung: Von iddC.tmp NON HO TRAVATO NESSUN MODEM PER LA CONNESSIONE - iddC.tmp.exe Trojaner...
Archiv
Du betrachtest: iddC.tmp.exe Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131