| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Bekomme den Trojaner einfach nicht wegWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
19.11.2004, 19:29
| #1 |
 |  Bekomme den Trojaner einfach nicht weg Hallo Hatte schon einmal gepostet das ich folgenden trojaner habe st.exe Er befindet sich unter c:/windows Habe das probiert was ich wußte. Z.b. im abgesicherten Modus gestartet dann den Virus gelöscht.Kam aber leider beim nächsten neustart direkt wieder obwohl ich auch die systemwiederherstellung deaktiviert hatte. Hoffe auf eure Hilfe Logfile of HijackThis v1.98.2 Scan saved at 19:23:49, on 19.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccProxy.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\Programme\Norton Personal Firewall\ISSVC.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe C:\WINDOWS\explorer.exe C:\WINDOWS\system32\netdc.exe C:\WINDOWS\Dit.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\T-ONLINE\BSW4\ToADiMon.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\Programme\Volumenzaehler\BoVolume.exe C:\WINDOWS\DitExp.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE C:\t-online\Browser\browser.exe C:\Programme\Messenger\msmsgs.exe c:\t-online\browser\dlman.exe C:\Programme\WinRAR\WinRAR.exe C:\WINDOWS\TEMP\Rar$EX00.703\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://auto.search.msn.com/response.asp?MT=;;;+M<Y+gugfD&srch=5&prov=&utf8 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aol.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von AOL R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = file://C:\Programme\WinSweep\ws.js F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\system32\netdc.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Norton Personal Firewall - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Norton Personal Firewall - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Programme\Gemeinsame Dateien\Symantec Shared\AdBlocking\NISShExt.dll O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ToADiMon.exe] C:\T-ONLINE\BSW4\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [VolumeCounter] "C:\Programme\Volumenzaehler\BoVolume.exe" O4 - HKLM\..\Run: [websx] C:\Programme\websx\int441095.exe -auto O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Startup: netdb.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: AOL 7.0 - {FC38ED9F-BCF8-4E1D-AAE6-D4C40A94A8EF} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU) O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O14 - IERESET.INF: START_PAGE_URL=http://www.aol.de O16 - DPF: JT's Blocks - http://download.games.yahoo.com/game...s/y/blt1_x.cab O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: Tornado 21 - http://download.games.yahoo.com/game.../y/t21t0_x.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.com.../c381/chat.cab O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/game...ts/y/ct1_x.cab O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/game.../y/fltt3_x.cab O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/game...ts/y/tt1_x.cab O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst3_x.cab O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/game...s/y/mat3_x.cab O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/game...s/y/potc_x.cab O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-12.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {B020B534-4AA2-4B99-BD6D-5F6EE286DF5C} (Symantec Download Bridge) - http://www2.service.t-online.de/dyn/...5/2334156.html O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.stardialer.de/install/StarInstall.ocx O17 - HKLM\System\CCS\Services\Tcpip\..\{91F854D6-5ABB-439E-BFC7-2A9D23F84186}: NameServer = 217.237.150.97 217.237.149.161 O21 - SSODL: System - {E2583B88-41EF-4E56-842B-5A04A7EB7594} - C:\WINDOWS\system32\system32.dll Danke Katerbarny |
|
19.11.2004, 22:02
| #2 |
  |  Bekomme den Trojaner einfach nicht weg @katerbarny
__________________der hier ist im system http://www.sophos.de/virusinfo/analy...jdumaruam.html C:\WINDOWS\system32\netdc.exe ich kann dich deswegen nur raten dein system neu auf zu setzen, betrachte es als kompromittiert http://www.mathematik.uni-marburg.de...ompromise.html wenn du säubern möchtest, dann diese datei auf diskette speichern zwecks beweismittel O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.stardialer.de/install/StarInstall.ocx wechsle danach in den abgesicherten modus und fixe O4 - HKLM\..\Run: [websx] C:\Programme\websx\int441095.exe -auto O9 - Extra button: AOL 7.0 - {FC38ED9F-BCF8-4E1D-AAE6-D4C40A94A8EF} - C:\Programme\AOL 7.0\aol.exe (file missing) (HKCU) O16 - DPF: JT's Blocks - http://download.games.yahoo.com/gam...ts/y/blt1_x.cab O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: Tornado 21 - http://download.games.yahoo.com/gam...s/y/t21t0_x.cab O16 - DPF: Yahoo! Chat - http://us.chat1.yimg.com/us.yimg.co...t/c381/chat.cab O16 - DPF: Yahoo! Chess - http://download.games.yahoo.com/gam...nts/y/ct1_x.cab O16 - DPF: Yahoo! Fleet - http://download.games.yahoo.com/gam...s/y/fltt3_x.cab O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/gam...nts/y/tt1_x.cab O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/gam...s/y/mjst3_x.cab O16 - DPF: Yahoo! Mensch - http://download.games.yahoo.com/gam...ts/y/mat3_x.cab O16 - DPF: Yahoo! Pool 2 - http://download.games.yahoo.com/gam...ts/y/potc_x.cab O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/gam...ts/y/pyt1_x.cab O16 - DPF: {00000000-CDDC-0704-0B53-2C8830E9FAEC} (IELoaderCtl Class) - http://install.global-netcom.de/ieloader.cab O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://ppupdates.ca.com/downloads/scanner/axscanner.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/act...l_v1-0-3-12.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - O16 - DPF: {67B15B0B-160C-4579-95AF-858169659092} (IELoaderCtl Class) - http://freeload.cc/secure/ieloader.cab O16 - DPF: {E0B795B4-FD95-4ABD-A375-27962EFCE8CF} (StarInstall Control) - http://www.stardialer.de/install/StarInstall.ocx O21 - SSODL: System - {E2583B88-41EF-4E56-842B-5A04A7EB7594} - C:\WINDOWS\system32\system32.dll lösche manuell C:\WINDOWS\system32\system32.dll C:\WINDOWS\system32\netdc.exe ich würde an deiner stelle neu aufsetzen chaosman
__________________ |
|
20.11.2004, 12:57
| #3 |
| | Bekomme den Trojaner einfach nicht weg Hallo
__________________Nur damit ich das richtig verstehe. Ich muß also Format C machen und alles neu aufspielen weil es eine andere Möglichkeit zur beseitigung des Trojaners nicht gibt. Gruß katerbarny |
|
20.11.2004, 16:10
| #4 |
 | Bekomme den Trojaner einfach nicht weg @ katerbarny Du hast richtig verstanden. Troj/Dumaru-AM: "Troj/Dumaru-AM ist ein Trojaner, der Backdoor-Zugriff auf und die Steuerung über den Computer ermöglicht und vertrauliche Daten an einen remoten Speicherort sendet. Wenn er erstmals ausgeführt wird, kopiert sich Troj/Dumaru-AM als netda.exe und netdc.exe in den Windows-Systemordner und als netdb.exe in den Autostart-Ordner, ect." Hier noch ein paar Tips: Cidre's Rat und Lutz' Datensicherung zum formatieren: - PC-Sicherheit - www.windowsupdate.com - Browserwechsel - Entfernungstools von Spyware und Adware - Eine Auswahl Virenscanner SD |
|
| Themen zu Bekomme den Trojaner einfach nicht weg |
| .html, .inf, abgesicherten modus, adobe, antivirus, antivirus scan, bho, browser, dateien, drivers, ellung, explorer, file missing, firewall, hijack, hijackthis, hilfe, internet, internet explorer, microsoft, monitor, neustart, programme, rundll, security, security center, software, sun java, symantec, systemwiederherstellung, t-online, tcpip, temp, trojaner, unter, virus, windows messenger, windows xp, windows\system32\drivers, windows\temp |
Linear-Darstellung
