Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Trojaner downloader

Trojaner downloader


Log-Analyse und Auswertung: Trojaner downloader

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML.

Antwort
Alt 19.04.2007, 20:17   #1
Optimusreim
 
Trojaner downloader - Standard

Trojaner downloader


Hallo bin neu hier und habe wahrscheinlich ein Trojaner downloader Problem.
Bei jedem neustart macht Antivir Meldung das sich im Temp-Verzeichnis Dinge wie TR/SPY.VBStat.B.1, TR/Undo.Gen, TR/Agent.123952 befinden.
Natürlich lösche ich sie immer gleich mit Antivir.
Auch Poppen immer wieder Internet Explorer Fenster auf obwohl ich Firefox verwende.

Hab auch schon UndoFix probiert der findet was, löscht und startet neu.
Nach dem Neustart kommt aber früher oder später wieder die selbe Antivir meldung.
Bevor die Antivir meldug kommt findet UndoFix nichts dannach schon.

Hier mein HijackThis Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:10:32, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\csrss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Windows Defender\MsMpEng.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\AntiVir PersonalEdition Classic\sched.exe
J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\alg.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
J:\Programme\Microsoft IntelliType Pro\itype.exe
J:\Programme\Windows Defender\MSASCui.exe
J:\Programme\Microsoft IntelliPoint\ipoint.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\Shutdown On Lan\sol.exe
J:\Programme\Mozilla Firefox\firefox.exe
J:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
J:\WINDOWS\system32\wbem\wmiprvse.exe
J:\Dokumente und Einstellungen\Optimuz\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [itype] "J:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Windows Defender] "J:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IntelliPoint] "J:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "J:\Programme\RivaTuner v2.0 RC 16\RivaTuner.exe" /S
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ShutdownOnLAN.LNK = J:\Programme\Shutdown On Lan\sol.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158511945955
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175254985359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - J:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - J:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk Inc - J:\Programme\Autodesk\Data Management Server 5\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk EDM Server - - J:\Programme\Autodesk\Data Management Server 5\Server\Webserver\Connectivity.EDMWS.Server.exe
O23 - Service: Autodesk Licensing Service - Autodesk - J:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - J:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MSSQL$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - J:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SQLAgent$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE" -i AUTODESKVAULT (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - J:\Programme\T-Online\DSL-Manager\TODslSvc.exe



Hab die Log File auch schon bei "HiJackthis.de" auswerten lassen.
Dabei bin ich auf die Unbekannte Datei windows/system32/fcccdcc.dll gestoßen die sich selbst mit Killbox nicht löschen lässt.

Jetzt weiß ich nicht mehr weiter.
Es wäre nett wenn sich jemand meiner annehmen könnte.

Danke im Voraus.

Alt 19.04.2007, 20:22   #2
Optimusreim
 
Trojaner downloader - Standard

Trojaner downloader


Was ich noch vergessen hatte HijackThis erkennt die besagte fcccdcc.dll nur nach dem ich UndoFix angewendet habe und die Antivir meldung noch nicht gekommen ist.
Dabei befindet sich die Datei nach wie vor im system32 Ordner.
__________________
Alt 19.04.2007, 20:51   #3
undoreal
/// AVZ-Toolkit Guru
 
Trojaner downloader - Standard

Trojaner downloader


Zitat:
UndoFix
ich weiss das ich fix bin aber du meintest doch VundoFix oder? halli hallo übrigens.

Zitat:
windows/system32/fcccdcc.dll
also ich ginde diese Datei im HJT log nicht aber lasse sie doch mal auf Virustotal auswerten..

Dann mach mal folgendes:

-Deaktiviere die Systemwiederherstellung auf allen Laufwerken
-Sauge dir CCleaner und lasse das Prog arbeiten.

-Konfiguriere AntiVir aggressiv.
-Update AV
-wechsel in den abgesicherten Modus (F8 beim Hochfahren)
-Mache mit Anti Vir einen kompletten Systemscan

-Starte normal und lasse CCleaner wieder arbeiten.

Poste dann ob du Probleme hast.

mfg

Undoreal
__________________
__________________
Alt 19.04.2007, 21:25   #4
Optimusreim
 
Trojaner downloader - Standard

Trojaner downloader


Also AV hab ich heute schon Aktuallisiert und im Abgesichertengescannt.
Findet aber nichts.
cCleaner ist auch schon gelaufen.
Systemwiederherstellung verwende ich schon seit langem nicht mehr.

Virus Total sagt zur fcccdcc.dll:

Antivirus Version Update Result
AhnLab-V3 2007.4.19.1 04.19.2007 no virus found
AntiVir 7.3.1.53 04.19.2007 ADSPY/Virtumonde.IG.36
Authentium 4.93.8 04.18.2007 no virus found
Avast 4.7.981.0 04.19.2007 no virus found
AVG 7.5.0.464 04.19.2007 Adware Generic2.FE
BitDefender 7.2 04.19.2007 MemScan:Trojan.Vundo.DLM
CAT-QuickHeal 9.00 04.19.2007 Adware.Virtumonde.gen
ClamAV devel-20070416 04.19.2007 Trojan.Packed-7
DrWeb 4.33 04.19.2007 Trojan.Virtumod
eSafe 7.0.15.0 04.19.2007 no virus found
eTrust-Vet 30.7.3579 04.19.2007 Win32/Chisyne!generic
Ewido 4.0 04.19.2007 Adware.Virtumonde
FileAdvisor 1 04.19.2007 no virus found
Fortinet 2.85.0.0 04.19.2007 Adware/VirtuMonde
F-Prot 4.3.2.48 04.18.2007 no virus found
F-Secure 6.70.13030.0 04.19.2007 Vundo.gen17
Ikarus T3.1.1.5 04.19.2007 not-a-virus:AdWare.Win32.Virtumonde.bq
Kaspersky 4.0.2.24 04.19.2007 not-a-virus:AdWare.Win32.Virtumonde.ig
McAfee 5013 04.19.2007 no virus found
Microsoft 1.2405 04.19.2007 no virus found
NOD32v2 2205 04.19.2007 no virus found
Norman 5.80.02 04.19.2007 Vundo.gen17
Panda 9.0.0.4 04.19.2007 Suspicious file
Prevx1 V2 04.19.2007 Polynomial.Code.Exploit
Sophos 4.16.0 04.17.2007 no virus found
Sunbelt 2.2.907.0 04.07.2007 no virus found
Symantec 10 04.19.2007 no virus found
TheHacker 6.1.6.088 04.09.2007 no virus found
VBA32 3.11.3 04.19.2007 no virus found
VirusBuster 4.3.7:9 04.19.2007 Adware.Vundo.Gen!Pac.8
Webwasher-Gateway 6.0.1 04.19.2007 Ad-Spyware.Virtumonde.IG.36

Aditional Information
File size: 26694 bytes
MD5: a7653da7a00bba70010ec2ac5fd70ec9
SHA1: d2a5ddbfd7c85336bd48ca47702e9e3c9b553287
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=915889814349

Übrigens hast du recht das Prog heißt VundoFix.
Hab mal ein Bild angefügt was es nach dem Scan aus Spuckt.
Miniaturansicht angehängter Grafiken
Trojaner downloader-vundo.jpg  

Alt 19.04.2007, 21:32   #5
undoreal
/// AVZ-Toolkit Guru
 
Trojaner downloader - Standard

Trojaner downloader


Führe bitte das aus: Vundofix

mfg

__________________
- Sämtliche Hilfestellungen im Forum werden ohne Gewährleistung oder Haftung gegeben -
Alt 19.04.2007, 21:44   #6
Optimusreim
 
Trojaner downloader - Standard

Trojaner downloader


Wie gesagt habe VundoFix schon mehr mals aus gefürt, gerade eben wieder.

Nach dem Neustart zeigt mir HijackThis dann das an:

Logfile of HijackThis v1.99.1
Scan saved at 22:33:36, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Windows Defender\MsMpEng.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\AntiVir PersonalEdition Classic\sched.exe
J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\system32\wuauclt.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
J:\Programme\Microsoft IntelliType Pro\itype.exe
J:\Programme\Windows Defender\MSASCui.exe
J:\Programme\Microsoft IntelliPoint\ipoint.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\Shutdown On Lan\sol.exe
J:\Dokumente und Einstellungen\Optimuz\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - J:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QFX Software KeyScrambler - {2B9F5787-88A5-4945-90E7-C4B18563BC5E} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {9FE7CAAE-652B-48AE-833D-39B3D4AC9513} - J:\WINDOWS\system32\fcccdcc.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: (no name) - {BF7A872B-EED0-401D-AF97-DB5CDA8B3E3D} - J:\WINDOWS\system32\ssqrr.dll (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [itype] "J:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Windows Defender] "J:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IntelliPoint] "J:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "J:\Programme\RivaTuner v2.0 RC 16\RivaTuner.exe" /S
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ShutdownOnLAN.LNK = J:\Programme\Shutdown On Lan\sol.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158511945955
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175254985359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - J:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: fcccdcc - J:\WINDOWS\SYSTEM32\fcccdcc.dll
O20 - Winlogon Notify: WgaLogon - J:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - J:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk Inc - J:\Programme\Autodesk\Data Management Server 5\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk EDM Server - - J:\Programme\Autodesk\Data Management Server 5\Server\Webserver\Connectivity.EDMWS.Server.exe
O23 - Service: Autodesk Licensing Service - Autodesk - J:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - J:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MSSQL$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - J:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SQLAgent$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE" -i AUTODESKVAULT (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - J:\Programme\T-Online\DSL-Manager\TODslSvc.exe


Aber wie schon vorhin nur bis AV wieder die Virusmeldungen Ausspuckt,
dannanch ist von der fcccdcc.dll nichts mehr zu sehen, und es sieht so aus:


Logfile of HijackThis v1.99.1
Scan saved at 22:42:06, on 19.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16414)

Running processes:
J:\WINDOWS\System32\smss.exe
J:\WINDOWS\system32\csrss.exe
J:\WINDOWS\system32\winlogon.exe
J:\WINDOWS\system32\services.exe
J:\WINDOWS\system32\lsass.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\Programme\Windows Defender\MsMpEng.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\System32\svchost.exe
J:\WINDOWS\system32\spoolsv.exe
J:\Programme\AntiVir PersonalEdition Classic\sched.exe
J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
J:\WINDOWS\system32\nvsvc32.exe
J:\WINDOWS\system32\svchost.exe
J:\WINDOWS\Explorer.EXE
J:\WINDOWS\System32\alg.exe
J:\WINDOWS\System32\svchost.exe
J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
J:\Programme\Microsoft IntelliType Pro\itype.exe
J:\Programme\Windows Defender\MSASCui.exe
J:\Programme\Microsoft IntelliPoint\ipoint.exe
J:\WINDOWS\system32\ctfmon.exe
J:\Programme\Shutdown On Lan\sol.exe
J:\Programme\Mozilla Firefox\firefox.exe
J:\Dokumente und Einstellungen\Optimuz\Desktop\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [avgnt] "J:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX3800 Series] J:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIACE.EXE /P26 "EPSON Stylus DX3800 Series" /O6 "USB001" /M "Stylus DX3800"
O4 - HKLM\..\Run: [itype] "J:\Programme\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [Windows Defender] "J:\Programme\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [IntelliPoint] "J:\Programme\Microsoft IntelliPoint\ipoint.exe"
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE J:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "J:\Programme\RivaTuner v2.0 RC 16\RivaTuner.exe" /S
O4 - HKCU\..\Run: [ctfmon.exe] J:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: ShutdownOnLAN.LNK = J:\Programme\Shutdown On Lan\sol.exe
O8 - Extra context menu item: An vorhandenes PDF anfügen - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://J:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://J:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - J:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: (no name) - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra 'Tools' menuitem: &KeyScrambler... - {5C106A59-CC3C-4caa-81A4-6D909B5ACE23} - J:\Programme\KeyScrambler\KeyScramblerIE.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - J:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - J:\Programme\ICQLite\ICQLite.exe
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: j:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158511945955
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1175254985359
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - J:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - J:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - J:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Autodesk Data Management Job Dispatch - Autodesk Inc - J:\Programme\Autodesk\Data Management Server 5\Server\Dispatch\Connectivity.WindowsService.JobDispatch.exe
O23 - Service: Autodesk EDM Server - - J:\Programme\Autodesk\Data Management Server 5\Server\Webserver\Connectivity.EDMWS.Server.exe
O23 - Service: Autodesk Licensing Service - Autodesk - J:\Programme\Gemeinsame Dateien\Autodesk Shared\Service\AdskScSrv.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - J:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: MSSQL$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlservr.exe" -sAUTODESKVAULT (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - J:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - J:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: SQLAgent$AUTODESKVAULT - Unknown owner - J:\Programme\Microsoft SQL Server\MSSQL$AUTODESKVAULT\Binn\sqlagent.EXE" -i AUTODESKVAULT (file missing)
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - J:\Programme\T-Online\DSL-Manager\TODslSvc.exe


Hab auch schon versucht die fcccdcc.dll per Bootdisk zu löschen, ohne Erfolg.

Antwort

Themen zu Trojaner downloader
adobe, antivir, auswerten, avira, defender, desktop, downloader, drivers, einstellungen, excel, explorer, firefox, hijack, hijackthis, hijackthis log, immer wieder, internet, internet explorer, konvertieren, log file, mozilla, mozilla firefox, mssql, pdf-datei, rundll, server, software, solution, system, t-online, tr/agent.123, trojaner, unbekannte datei, unknown file in winsock lsp, usb, windows, windows defender, windows xp


« Virus/Programm lässt sich nicht löschen | Brauch Hilfe »


Ähnliche Themen: Trojaner downloader


  1. Malware durch dubiosen Downloader (Lightning Downloader)
    Log-Analyse und Auswertung - 10.07.2015 (9)
  2. Möchte meinen PC Trojaner frei bekommen (auch Trojaner Downloader)
    Plagegeister aller Art und deren Bekämpfung - 27.02.2013 (12)
  3. Trojaner.Downloader.JS.JScript.ag
    Plagegeister aller Art und deren Bekämpfung - 29.03.2012 (21)
  4. Downloader trojaner und rootkits!!!
    Plagegeister aller Art und deren Bekämpfung - 15.02.2009 (4)
  5. Downloader.gen.a Trojaner befall
    Plagegeister aller Art und deren Bekämpfung - 09.10.2007 (3)
  6. downloader > trojaner
    Plagegeister aller Art und deren Bekämpfung - 29.07.2007 (7)
  7. Downloader Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.05.2007 (3)
  8. Trojaner Trojan-Downloader.BAT.Ftp.c
    Plagegeister aller Art und deren Bekämpfung - 25.02.2007 (2)
  9. Trojaner Downloader.Zlob.FWR
    Plagegeister aller Art und deren Bekämpfung - 06.01.2007 (4)
  10. win32.Trojaner.downloader
    Plagegeister aller Art und deren Bekämpfung - 18.06.2006 (10)
  11. Generic Downloader.a Trojaner
    Log-Analyse und Auswertung - 04.03.2006 (1)
  12. Trojaner.downloader?
    Log-Analyse und Auswertung - 09.10.2005 (2)
  13. so Trojaner.Downloader.CP CR
    Log-Analyse und Auswertung - 07.10.2005 (1)
  14. Trojaner-Downloader
    Plagegeister aller Art und deren Bekämpfung - 10.05.2005 (4)
  15. Trojaner: Downloader.Agent.AS
    Plagegeister aller Art und deren Bekämpfung - 01.12.2004 (14)
  16. Trojaner Downloader.Swizzor.br
    Plagegeister aller Art und deren Bekämpfung - 04.11.2004 (5)
  17. Trojaner Downloader
    Plagegeister aller Art und deren Bekämpfung - 20.04.2004 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner downloader - Hallo bin neu hier und habe wahrscheinlich ein Trojaner downloader Problem. Bei jedem neustart macht Antivir Meldung das sich im Temp-Verzeichnis Dinge wie TR/SPY.VBStat.B.1, TR/Undo.Gen, TR/Agent.123952 befinden. Natürlich lösche ich - Trojaner downloader...
Archiv
Du betrachtest: Trojaner downloader auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131