Guten Morgen??^^
Also habe mir den Trojaner TR/Agent.6938.A Eingefangen er sitzt im Temp ordner habe Rechner im Abgesicherten modus Gestartet und den Kompletten ordner gelöscht aber nach dem neustart ist er wieder da. Er Taucht nur auf wenn ich direckten Zugriff auf die Festplatte nehme (Per Doppelklick)
AntiVir zeigt mir dann an das er in
C:\Dokumente und Einstellungen\****\Lokale Einstellungen\Temp ist und immer eine andere .tmp datei

Auserdem startet er den Prozess spoolsv.exe der 50% (nicht immer belegt er die) CPU belegt ich kann ihn aber einfach mit Prozess beenden Schliesen.

Mir ist noch was aufgefallen, wenn ich in der eingabeauforderung C: eingeben geht die platte auf ohne das Antivir sich meldet!

Hilfe wäre echt nett

Mein OS ist: WinXP SP3

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:09:35, on 15.10.2008
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\COMODO\Firewall\cfp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\buffed\BLASC.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\COMODO\Firewall\cmdagent.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ArcorOnline\AOButler.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O1 - Hosts: 212.117.161.104 www.anime-miako.to
O1 - Hosts: 212.117.161.104 anime-miako.to
O1 - Hosts: 212.117.161.104 board.anime-miako.to
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Programme\COMODO\Firewall\cfp.exe" -h
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "C:\Programme\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: En&queue current page with Bulk Image Downloader - file://C:\Programme\Bulk Image Downloader\iemenu\iebidqueue.htm
O8 - Extra context menu item: Enqueue link target with Bulk Ima&ge Downloader - file://C:\Programme\Bulk Image Downloader\iemenu\iebidlinkqueue.htm
O8 - Extra context menu item: Open &link target with Bulk Image Downloader - file://C:\Programme\Bulk Image Downloader\iemenu\iebidlink.htm
O8 - Extra context menu item: Open current page with Bulk I&mage Downloader - file://C:\Programme\Bulk Image Downloader\iemenu\iebid.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220799074921
O17 - HKLM\System\CCS\Services\Tcpip\..\{E00B9FBB-0F54-4B53-92B0-333FE1A0BE75}: NameServer = 195.50.140.178 195.50.140.114
O20 - AppInit_DLLs:  C:\WINDOWS\system32\guard32.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: COMODO Firewall Pro Helper Service (cmdAgent) - Unknown owner - C:\Programme\COMODO\Firewall\cmdagent.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA-OMEGA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 6975 bytes
         

habe lösung

dabei ist das ganze ganz einfach ohne dass man irgendwelche Dateien downloadet oder im abgesicherten Modus startet.

ich htte auch dieses Problem (... im Übrigen als ich ein Anti Virus Prog installiert hab) bekommen und hab es so bewältigt

Also:

als erstes öffnet ihr die befallene Festplatte via Addressleiste und dann geht ihr auf
Extras --> Ordneroptionen
in den Ordneroptionen auf Ansicht
dort entfernt ihr den Haken vor "Geschützte Systemdateien ausblenden (empfolen)"
und ihr klickt alle „Dateien und Ordner anzeigen“ an

so jetzt dürftet ihr in eurer Festplatte mindestens 4 "neue" Dateien sehen
darunter der Ordner resycled und die Datei autorun.inf

als erstes entfernt ihr den Schreibschutz der von autorun.inf
(Rechtsklick --> Eigenschaften)

Jetzt Doppelklick auf autorun.inf und das ganze geschriebene was da so steht wird einfach gelöscht
jetzt die Datei speichern

so jetzt löscht ihr noch die Datei autorun.inf und den Ordner resycled via shift+entfernen

so als vorletztes geht ihr auf
Start ---> Ausführen und gebt regedit ein und sucht

HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Pornovid\CLSID

dort löscht ihr den eintrag pornovid mit clsid!!!

als letztes startet ihr den Rechner neu und Viola fertig ist die ganze Sache

ÜBRIGENS: würde ich die option "Geschützte Systemdateien ausblenden (empfolen)" wieder einstellen ... ich hätt eben fast eine systemdatei gelöscht ^^

in übrigen funktioniert das ganze bei internen- externen festplatten, PSP Pro dou Stick, USB Massenspeichergeräte, MP3 player ... eigendlich auf jeden speicher medium

hi,

habe seit vorgestern den gleichen trojaner... mit diesen scheiss tmp dateien -.-


@ Animalm4st3r: habe versucht deine schritte nach zu gehen, aber bis auf das ich die "Geschützte Systemdateien ausblenden (empfolen)" anzeigen lassen kann und ich das mit dem regedit und pornovid machen konnte. die anderen schritte gingen leider nicht da ich diesen ordner resycled und auch nicht die datei autorun.inf aufm rechner habe.

nagut kann auch daran liegen das ich den ordner nicht finde weil ich keine ahnung habe wie ich meine festplatte mit einer adressleiste öffnen kann. könnte es dadran liegen?

ich hoffe ihr könnt mir helfen.


mfg