Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner

Trojaner


Plagegeister aller Art und deren Bekämpfung: Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.10.2004, 12:05   #1
Spritto
 
Trojaner - Standard

Trojaner


Hallo

Ich habe seit ein paar Tagen das Problem, dass sich ständig mein Internet Explorer von selbst öffnet. Antivir hat einen Trojaner namens LowZone-G gefunden. Die befallenen Dateien habe ich gelöscht, sie tauchen allerdings immer wieder auf. Auch werden ständig Dateien erstellt mit den Namen
TT.exe
CC.exe
uninstall.exe
install.exe
setupdll.exe
...

Hier mal mein HijackThis log:
Logfile of HijackThis v1.97.7
Scan saved at 12:59:17, on 26.10.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\STOPzilla!\szntsvc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\CTsvcCDA.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\WINDOWS\system32\dmtdll.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
D:\WINDOWS\System32\CTHELPER.EXE
D:\WINDOWS\System32\MsPMSPSv.exe
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
D:\Programme\STOPzilla!\Stopzilla.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
D:\Programme\AIM95\aim.exe
D:\WINDOWS\System32\winlogs.exe
D:\Programme\VIA\RAID\raid_tool.exe
D:\Programme\Microsoft Office\Office\OSA.EXE
D:\Programme\Kazaa Lite K++\KazaaLite.kpp
D:\WINDOWS\explorer.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=139177
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
F1 - win.ini: run=d:\windows\system32\dmtdll.exe
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {E3215F20-3212-11D6-9F8B-00D0B743919D} - D:\WINDOWS\System32\SZIEBHO.dll
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] D:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinLogin] winlogin.exe
O4 - HKLM\..\Run: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\Run: [STOPzilla] "D:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [Windows logging] winlogs.exe
O4 - HKLM\..\Run: [Dmtdll] d:\windows\system32\dmtdll.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [WinLogin] winlogin.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunServices: [Windows logging] winlogs.exe
O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [AIM] D:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Windows logging] winlogs.exe
O4 - HKCU\..\Run: [Dmtdll] d:\windows\system32\dmtdll.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = D:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = D:\Programme\VIA\RAID\raid_tool.exe
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098449982375
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

Vielleicht kann mir ja jemand von euch helfen.

Vielen Dank schonmal
Christian

Alt 26.10.2004, 12:25   #2
chaosman
 
Trojaner - Standard

Trojaner


@Spritto
update dein system und IE
lade dir bitte den aktuellen HJT
http://www.trojaner-board.de/51130-a...ijackthis.html
poste dann eun neues logfile
der ist im system
http://www.sophos.de/virusinfo/analy...jcrypterc.html
D:\WINDOWS\system32\dmtdll.exe
chaosman
__________________

__________________
Alt 26.10.2004, 17:25   #3
Spritto
 
Trojaner - Standard

Trojaner


Zitat:
Zitat von chaosman
@Spritto
update dein system und IE
lade dir bitte den aktuellen HJT
http://www.trojaner-board.de/51130-a...ijackthis.html
poste dann eun neues logfile
der ist im system
http://www.sophos.de/virusinfo/analy...jcrypterc.html
D:\WINDOWS\system32\dmtdll.exe
chaosman
Ok, das habe ich gemacht. Warum bei HJT jetzt immer noch Unable to get Internet Explorer version steht weiß ich nicht. Im Internet Explorer steht
Version: 6.0.2900.2180.xpsp_sp2_rtm.040803-2158.

Hier das neue logfile bon HJT.

Logfile of HijackThis v1.98.2
Scan saved at 18:17:28, on 26.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\System32\Ati2evxx.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\STOPzilla!\szntsvc.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\WINDOWS\System32\CTsvcCDA.exe
D:\Programme\Cisco Systems\VPN Client\cvpnd.exe
D:\WINDOWS\System32\MsPMSPSv.exe
D:\WINDOWS\system32\Ati2evxx.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\System32\msiexec.exe
D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
D:\WINDOWS\system32\CTHELPER.EXE
D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
D:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
D:\WINDOWS\system32\winmplayer.exe
D:\Programme\STOPzilla!\Stopzilla.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
D:\Programme\AIM95\aim.exe
D:\WINDOWS\system32\winlogs.exe
D:\Programme\VIA\RAID\raid_tool.exe
\?\D:\WINDOWS\system32\WBEM\WMIADAP.EXE
D:\Programme\Microsoft Office\Office\OSA.EXE
D:\PROGRA~1\ICQ\ICQ.exe
C:\Uninst.exe
\?\D:\WINDOWS\system32\WBEM\WMIADAP.EXE
D:\Programme\AVPersonal\AVGUARD.EXE
D:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\Temporäres Verzeichnis 2 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.klamm.de/?id=139177
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: STOPzilla Browser Helper Object - {E3215F20-3212-11D6-9F8B-00D0B743919D} - D:\WINDOWS\System32\SZIEBHO.dll
O4 - HKLM\..\Run: [ATIPTA] D:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] D:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] D:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] D:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "D:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [RemoteControl] D:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [WinLogin] winlogin.exe
O4 - HKLM\..\Run: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\Run: [STOPzilla] "D:\Programme\STOPzilla!\Stopzilla.exe" /autorun
O4 - HKLM\..\Run: [Windows logging] winlogs.exe
O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [WinLogin] winlogin.exe
O4 - HKLM\..\RunServices: [Microsoft media services] winmplayer.exe
O4 - HKLM\..\RunServices: [Windows logging] winlogs.exe
O4 - HKCU\..\Run: [RemoteCenter] D:\Programme\Creative\MediaSource\RemoteControl\RCMan.EXE
O4 - HKCU\..\Run: [AIM] D:\Programme\AIM95\aim.exe -cnetwait.odl
O4 - HKCU\..\Run: [Windows logging] winlogs.exe
O4 - Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Microsoft Office\Office\FINDFAST.EXE
O4 - Startup: Office-Start.lnk = D:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Global Startup: Cisco Systems VPN Client.lnk = D:\Programme\Cisco Systems\VPN Client\vpngui.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: VIA RAID TOOL.lnk = D:\Programme\VIA\RAID\raid_tool.exe
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - D:\Programme\AIM95\aim.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098449982375


MfG
Christian
__________________
Alt 26.10.2004, 17:43   #4
Haui45
 
Trojaner - Standard

Trojaner


Hallo spritto,
dein Logfile sieht leider gar nicht gut aus. Du hast einige Backdoortrojaner auf deinem System,
d.h. dass es höchstwahrscheinlich schon kompromittiert ist, wodurch ein Neuaufsetzen unerlässlich ist.
Trotzdem solltest du um sicherzugehen vorher eScan im abgesicherten Modus ausführen und die
gefundenen Viren ins Forum übertragen.

Zitat:
D:\WINDOWS\system32\winmplayer.exe
dürfte z.B. der hier sein.

Zitat:
Zitat von Cidre
[..]
Nach dem Neuaufsetzen und vor der ersten Internet Verbindung solltest du folgende Punkte abarbeiten:

1. Eingeschränktes Benutzerkonto erstellen und zum Surfen benutzen http://freenet.meome.de/app/fn/artc...jsp?catId=79426
2. Internetverbindungsfirewall aktivieren http://www.computerhilfe-euskirchen...sxp/tipp16.html
3. Das System updaten und stets aktuell halten http://v5.windowsupdate.microsoft.c...er/default.aspx
4. NT-Dienste sicher konfigurieren http://www.ntsvcfg.de/ oder www.dingens.org
5. IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/se...msie/config.htm oder http://www.blafusel.de/ie.html
6. Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org/
7. MS Outlook und Outlook Express sicherer konfigurieren
http://www.fz-juelich.de/zam/net/se...ook-config.html oder http://www.datenschutz-bremen.de/ti...griffe/mail.htm
Besser wäre es, sichere eMail Clients wie Thunderbird einzusetzen http://www.thunderbird-mail.de/
8. Deine Passwörter ändern
9. Image der Systempartition erstellen mit z.B. Acronis True Image 7
10. Surfverhalten überdenken

Info zur Installation von Win XP findest du hier:
http://8ung.at/chemikers-home/SETUP.html
und
http://chip-faq.rufisplanet.ch/installation.html

Für die Zukunft:
http://www.mathematik.uni-marburg.d...compromise.html

Antwort

Themen zu Trojaner
adobe, antivir, bho, boot, cyberlink, dateien, explorer, gelöscht, hijack, hijackthis, hijackthis log, icq, immer wieder, internet, internet explorer, log, microsoft, object, office, problem, programme, shockwave, software, stopzilla, system, system32, trojane, trojaner, update, von selbst, windows, windows xp


« Was hat es mit dem Virus TR/AnalogX auf sich? | Backdoor Virus "BDC/Ruledor.C »


Zum Thema Trojaner - Hallo Ich habe seit ein paar Tagen das Problem, dass sich ständig mein Internet Explorer von selbst öffnet. Antivir hat einen Trojaner namens LowZone-G gefunden. Die befallenen Dateien habe ich - Trojaner...
Archiv
Du betrachtest: Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55