Troja kommt nach Virenprüfung wieder
 

hi, ich habe seit eben einen troja den ich zwar gelöscht hab aber der kommt immer wieder wenn ich mit den virenprüfungen zuende bin.
den namen hab ich vergessen aber der ist sehr berümt.
und hier is der log:

Logfile of HijackThis v1.99.1
[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/showpost.php?p=171957&postcount=1

danke
GUA
[/edit]

ok dann noch mal:

Logfile of HijackThis v1.99.1
Scan saved at 20:21:39, on 25.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\brsvc01a.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
C:\PROGRA~1\AVGFRE~1\avgemc.exe
C:\WINDOWS\system32\Brmfrmps.exe
C:\Programme\Nod32\nod32krn.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Nod32\nod32kui.exe
C:\WINDOWS\SUM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\regedit.exe
C:\Programme\Spybot\SpybotSD.exe
C:\Downloaden etc\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.domain.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: (no name) - {013A653B-49A6-4f76-8B68-E4875EA6BA54} - C:\WINDOWS\system32\fqulmsbp.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: TGTSoft Explorer Toolbar Changer - {C333CF63-767F-4831-94AC-E683D962C63C} - C:\Programme\TGTSoft\StyleXP\TGT_BHO.dll
O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - C:\Programme\Free Download Manager\iefdmcks.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Nod32\nod32kui.exe" /WAITSERVICE
O4 - Startup: 1Prioritätsregeln.bat
O4 - Startup: 2Arbeitsspeicher defragmentieren.vbs
O4 - Startup: 3Ruhezeit-Aktivität vorziehen.bat
O8 - Extra context menu item: Alles mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Auswahl mit FDM herunterladen - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Mit FDM herunterladen - file://C:\Programme\Free Download Manager\dllink.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.domain.de/DE/scan8/oscan8.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{7C534123-2EF1-4F3B-8055-72B82B03789C}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{B8561A0A-C011-486F-99A3-01950CB89093}: NameServer = 192.168.178.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{D4D25FEB-0BE2-4EB6-ACC5-F78D67DC8905}: NameServer = 192.168.178.1
O20 - Winlogon Notify: fgndaavf - c:\windows\system32\fgndaavf.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\AVGFRE~1\avgemc.exe
O23 - Service: Brother Popup Suspend service for Resource manager (brmfrmps) - Unknown owner - C:\WINDOWS\system32\Brmfrmps.exe" -service (file missing)
O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: License Management Service SON - e-sonopress - C:\Programme\Gemeinsame Dateien\esonopress Shared\Service\Licence Manager SON.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Nod32\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe


und wenn ich on gehe kommt der "Smidfraud-C.Toolbar888" troja wieder.

mOIn auch

schön wäre es gewesen, wenn du zumindest den Pfad und den Namen der Datei erwähnt hättest.

kannst du diese Sachen erklären oder kennst du sie?
O4 - Startup: 1Prioritätsregeln.bat
O4 - Startup: 2Arbeitsspeicher defragmentieren.vbs
O4 - Startup: 3Ruhezeit-Aktivität vorziehen.bat

Lasse dir bitte alle Dateien und Ordner anzeigen :
Start --> Einstellungen --> Systemsteuerung --> Ordneroptionen --> Ansicht -->
häkchen raus bei - Geschützte Systemdateien ausblenden -
anhaken - Inhalte von Systemordnern anzeigen -
bei Versteckte Dateien und Ordner - alle Dateien und Ordner anzeigen lassen -
--> Übernehmen

Lasse diese beiden Dateien :
C:\WINDOWS\system32\fqulmsbp.dll
c:\windows\system32\fgndaavf.dll
hier
Virustotal
oder hier
Jotti
überprüfen (kann bisschen dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 angaben,
auch wenn nichts gefunden wurde.

MFG

sry hab die datei sofort gelöscht.

yo hier, hier und hier

hatte ich schon. aber hijackthis zeigt mir trotzdem nur so wenig an.

hab ich (bei beiden sites) mit folgendem ergebnis:

fqulmsbp.dll:
File size: 38420 bytes
MD5: 2d8ded7732c04d1717a6098baa8552e7
SHA1: 5a8e4c6fa0a9071f3dfc0bebf4afe68f4eeca0a5
==>
AntiVir=HEUR/Malware
Authentium=Possibly a new variant of W32/Threat-INLIB-based!Maximus
BitDefender=Backdoor.Pcclient.CC
DrWeb=Trojan.Juan (in meine rege war auch immer ein ordner namens juan, den ich zwar löschte, der aber nach nem neustart wieder kamm)
Fortinet=suspicious
F-Prot=Possibly a new variant of W32/Threat-INLIB-based!Maximus
F-Prot4=W32/Threat-INLIB-based!Maximus
Ikarus=Backdoor.Win32.PcClient.GV
Panda=Suspicious file
Sophos=Mal/Packer

fgndaavf.dll:
File size: 106555 bytes
MD5: b2d2dd712b6188209d525b6032af2460
SHA1: e86411c4d36195a4c2d5561c3973849fc71fb781
==>
AntiVir=HEUR/Malware
Avast=Win32:Trojano-1165
DrWeb=MULDROP.Trojan



ich hab die 2 dinger mal gelöscht. hoffe das das nicht schlimm war:lach:

ding nur mit spybot. unlocker hat angezeigt das das datein vom explorer sind!

EDIT: ich hab noch beim start die datei imapi.exe im task manager.

mOIn nochmal

leider nützt es wenig, die Dateien nur zu löschen, wenn ein Schädling bei dir vllt. schon eine Backdoor eingerichtet hat oder jemand Daten auf deinem Rechner verändert hat.

Du hast dir leider einen Backdoortrojaner eingefangen, der auch noch Tastatureingaben aufzeichnet.
Auch auf deinem System ist ein Dropper der dir u.U. oder besser garantiert nochmehr Müll auf den Rechner schaufelt, die dein Antivirenprogramm evtl. noch nichteinmal erkennt.
Wir haben jetzt nur an der Oberfläche gekratzt und auf deinem System könnte sich durchaus sehr viel mehr an Schadsoftware befinden, als wir ohnehin schon sehen, das heißt auch, folge dieser Anleitung und ändere alle deine Passwörter.

MFG

scheiße! gibts wierklich keine andere möglichkeit als windows neu zu installen?
und ich hab mich ein paar mal bei web eingeloggt. haben die jetzt mein passwort???????
ich werd mal alle daten sichern xp neu aufsetzten und die pws nach sp2 ändern.

Hallo

keine die Sinn macht

gehe davon aus, die alten Passwörter zu benutzen halte ich für gefährlich

ist die richtige Entscheidung:daumenhoc ,
Evetuell solltest du auch mal über eine Datensicherung nachdenken (Acronis,Trueimage o.ä.), ein Backup ist in kurzer Zeit eingespielt und was hättest du gemacht währe deine Festplatte flöten gegangen;) ?

MFG

nachdem ich windows neu aufgesetzt haben, werde ich mir mal so ein backup prog holen. im mom save ich alle wichtigen sachen auf meiner ext. hdd.
hönnte der troja auch auf die ext. hdd überspringen?

Hallo nochmal

naja überspringen will ich mal nicht unterschreiben, scanne deine Datenplatte einfach vom sauberen Windows aus (die ext. Platte solltest du während der Neuinstallation abstöpseln).
Sichere bitte keine ausführbaren Dateien (exe, bat, com, scr, setups usw.) und keine Dateien aus unseriösen Quellen ;), Bilder, Filme, MP3, Spielstände sind kein großes Problem scanne die Dateien einfach vor dem zurückspielen aufs System, mit einem aktuellen Antivirenprogramm.
Es stehen noch sehr gute Tips in der Anleitung die ich dir gepostet habe, lese dich mal ein bisschen ein.

MFG

k mache ich grade.

öhm, naja ich hab setups von prog. z.b. antispy oder ad aware. aber keine neuen .exe datein gesaved.

habsch.

mein web,gmx und foren pws habe ich vom pc meiner schwester geändert.
ABER mein icq pw funzt nich mehr. egal hab mal ein neues angefordert.

!!!vielen dank für eure schnelle hilfe!!!