Hallo community!
Ich habe mir gestern diesen Trojaner eingefangen. Natürlich aus reiner Blödheit.

Nachdem ich jetzt Forum gestöbert habe, scheint es das Beste zu sein XP SP2 neu zu installieren. (Dank an Cidre). Vielleicht gibt es für mich aber noch eine andere Lösung. Und zwar habe ich auf einer anderen Partition noch Windows 2000 installiert und könnte von dort aus booten und die betroffene Partition C scannen. Das ist jetzt so eine fixe Idee von mir, und ich habe zuwenig Ahnung von der gesamten Materie um abschätzen zu können ob dies eine Option ist.
Also meine Frage: ist das sinnvoll?
Antivir meldet bis jetzt nur .ex Dateien in C, aber ist wirklich nur C betroffen?
Ich hoffe das mir jemand helfen kann. Ich mag keine Zombies!!
Danke

Hallo.

Es können alle Festplatten/Partitionen betroffen sein, auch die System, die über ein Netzwerk verbunden sind.

Poste als erstes ein Hijacklog vom betroffenen System, Anleitung in meiner Signatur verlinkt.

Zusätzlich solltest du im letzten Report vom AV-Scanner nachsehen, wo der o.g. Trojaner gefunden wurde.

Gruß
Sunny

Hallo Sunny, hat ein wenig länger gedauert. Aber wenn das Kind schon im Brunnen liegt.
Die Auffindungsorte sind:
'C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\bauuurtv.exe''
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\ugggqtza.exe''
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\ugggqtza.exe'
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\vxcaqfvq.exe''
C:\Dokumente und Einstellungen\****\Anwendungsdaten\ping online peak\vxcaqfvq.exe'


Und hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 19:01:38, on 07.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunThreatEngine.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\SunProtectionServer.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum Suite 2\PopUpKiller.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\MuteForSkype\MuteForSkype.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\freeCommander2006\freeCommander.exe
D:\Download\ANTIVIR#ANTISPY\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: XBTP07089 - {120BA604-51BC-4BB8-8627-25AF02F16885} - C:\PROGRA~1\KEYGEN~1\ZINSER~1.DLL (file missing)
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: (no name) - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Debugpopfindblue] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Savepokedebugpop\Denttime.exe
O4 - HKLM\..\Run: [SunServer] C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum Suite 2\PopUpKiller.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [HOPEUP] C:\DOKUME~1\****\ANWEND~1\PINGON~1\Mail Bows.exe
O4 - Global Startup: MuteForSkype.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe


In der Hoffnung alles richtig gemacht zu haben, danke ich schon einmal für die Hilfe.

Arbeite das hier ab:

1.) Entfernung Swizzor.A

* Als erstes folgende Anleitung gut durchlesen und Schritt für Schritt abarbeiten
-> Entfernung Swizzor.A

* Dann die entsprechenden Einträge fixen, relevant sind bei dir folgende:

Zitat:

O4 - HKLM\..\Run: [Debugpopfindblue] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Savepokedebugpop\Denttime.ex e
O4 - HKCU\..\Run: [HOPEUP] C:\DOKUME~1\****\ANWEND~1\PINGON~1\Mail Bows.exe
O3 - Toolbar: (no name) - {661294F7-1833-46B3-99EA-7AF25A41FC33} - (no file)

2.) Anleitung Avenger:

1.) Lade dir das Tool Avenger und speichere es auf dem Desktop:


2.) Klicke nun auf die Option „Input Script manually“ -> klicke jetzt auf die Lupe und kopiere folgenden Text rein:

Zitat:

Folder to delete:
C:\PROGRA~1\KEYGEN~1

3.) Klicke nun auf die „grüne Ampel“, das Script fängt an zu arbeiten.

4.) Danach das System unverzüglich neu starten lassen
5.) Lass HijackThis nochmal laufen, erstelle und poste ein neues HijackThis Logfile. Poste ausserdem den Inhalt der C:\avenger.txt Datei.

Gruß
Sunny

Auch ich hab diesen Trojaner er ist da seit ich bei Live Messenger Plus das Sponsorenprogramm. Ich hab ihn mit Anti Vir gelöscht! Aber er kommt immer wieder. Der Pfad lautet: C:/Dokumente und Einstellungen/Anwendungsdatein/Nurb live mags und hier sind einige Anwendungen:

Wenn man die Bone 1 long ausführt ist er im Task-Manager und nimmt CPU-Auslastung weg.

@HH

Bitte eröffne für dein Problem einen eigenen Beitrag, da es hier zu unübersichtlich wird.

Poste auch gleich ein Hijacklog, Anleitung in meiner Signatur verlinkt.

Gruß
Sunny

Hallo Sunny, hallo alle Anderen!

Ich habe mich bemüht, wirklich! Aber ob es gefruchtet hat? Leider hat Avenger nicht funktioniert, keinen blassen Dunst warum.

Hier die txt Datei:

Avenger Pre-Processor log

Fatal error: could not create new script file.
Error code: 1813
Error logged to errorlog.txt. Aborting now!


Und hier das neuste Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 01:41:53, on 12.01.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
c:\Programme\Sophos\AutoUpdate\ALsvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sunbelt Software\CounterSpy\Consumer\sunserver.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum Suite 2\PopUpKiller.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\MuteForSkype\MuteForSkype.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.icq.com/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer - {49E0E0F0-5C30-11D4-945D-000000000003} - C:\PROGRA~1\Ashampoo\ASHAMP~2\PopUp.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] C:\Programme\Ashampoo\Ashampoo WinOptimizer Platinum Suite 2\PopUpKiller.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: AutoUpdate Monitor.lnk.disabled
O4 - Global Startup: MuteForSkype.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Sophos Anti-Virus Statusreporter (SAVAdminService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\Programme\Sophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\Programme\Sophos\AutoUpdate\ALsvc.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

Mit bestem Dank

stormy acher