Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ordner und exe kommen immer wieder (https://www.trojaner-board.de/34005-ordner-exe-kommen-immer.html)

Flotte 01.12.2006 10:28
Ordner und exe kommen immer wieder
 
Hallo,
vor einigen Tagen habe ich mir das C3 Texas Holdem Poker Spiel aus dem Internet geladen. Nach Deinstallation schreiben sich jetzt aber der Ordner texas_dm und die SetupPoker.exe immer wieder in die Eigenen Dateien. Egal auf welchem Wege ich die Datein versuche zu löschen, nach Neustart sind sie immer wieder da. Bitte, wer kann mir da weiter helfen.
Ein Logfile habe ich hier:

Logfile of HijackThis v1.99.1
Scan saved at 09:32:41, on 01.12.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
C:\WINNT\TEMP\NO5829.EXE
C:\WINNT\Explorer.EXE
C:\Programme\Trend Micro\Client Server Security Agent\PCCNTMON.EXE
C:\Programme\Java\jre1.5.0_09\bin\jusched.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_09\bin\jusched.exe"
O4 - HKLM\..\Run: [OfficeScanNT Monitor] "C:\Programme\Trend Micro\Client Server Security Agent\pccntmon.exe" -HideWindow
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_09\bin\ssv.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\INETREPL.DLL
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} (Encrypt Class) - h**s://****/SMB/console/html/root/AtxEnc.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1158415669738
O16 - DPF: {9059F30F-4EB1-4BD2-9FDC-36F43A218F4A} (Microsoft RDP Client Control (redist)) - h**p://****/msrdp.cab
O16 - DPF: {E78DE03F-DC83-40DB-B590-8FD80BE5F7C8} (Security Server Management-Konsole) - h**ps://****/SMB/console/html/root/AtxConsole.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ****.local
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ****.local
O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Trend Micro Client-Server Security Agent Echtzeitsuche (ntrtscan) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\ntrtscan.exe
O23 - Service: Trend Micro Client-Server Security Agent Personal Firewall (OfcPfwSvc) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\OfcPfwSvc.exe
O23 - Service: OKI OPHC DCS Loader - Oki Data Corporation - C:\WINNT\system32\spool\DRIVERS\W32X86\3\OPHCLDCS.EXE
O23 - Service: Trend Micro Client-Server Security Agent Listener (tmlisten) - Trend Micro Inc. - C:\Programme\Trend Micro\Client Server Security Agent\tmlisten.exe

Danke für jeden Hinweis.
Viele Grüße
Flotte

Flotte 02.12.2006 12:27
Push :o
Hat keiner eine Idee??

Sunny 03.12.2006 14:28
Zitat:
Zitat von Flotte (Beitrag 242613)
Push :o
Hat keiner eine Idee??
Hallo.

Doch ich denke ich weiß woran es liegen könnte. Lass mal folgende Datei bei Virustotal überprüfen:

Zitat:
C:\WINNT\TEMP\NO5829.EXE
Poste im Anschluss das Ergebnis des Scans hier in einen Beitrag.

Gruß
Sunny

Flotte 05.12.2006 14:16
Hallo Sunny, diese Datei hatte ich auch schon im Verdacht. Nur gehört die glaub ich zum Trendmicro, der in C:\WINNT\Temp immer eine Datei schreibt, die ständig anders heißt. Die Datei hat ein kleines Hündchensymbol und ist hier schon mehrfach Thema gewesen. Die Mehrheit war der Meinung, dass die Datei nicht gelöscht werden sollte. Diese ständige Umbenennung der Datei soll sie vor Angriffen schützen. Ich denke aber, das Problem ist ein anderes, oder?

Aber hier einmal der Scan:

Complete scanning result of "UEBBD9.EXE", processed in VirusTotal at 12/04/2006 17:00:44 (CET).

[ file data ]
* name: UEBBD9.EXE
* size: 172099
* md5.: b89c30b230652b6c744b74a7057616e8
* sha1: 52d779adc0bd3e4c6a5f2a3cfa43ec5c8fe7dbdd

[ scan result ]
AntiVir 7.2.0.46/20061204 found nothing
Authentium 4.93.8/20061201 found nothing
Avast 4.7.892.0/20061204 found nothing
AVG 386/20061204 found nothing
BitDefender 7.2/20061204 found nothing
CAT-QuickHeal 8.00/20061204 found nothing
ClamAV devel-20060426/20061204 found nothing
DrWeb 4.33/20061204 found nothing
eSafe 7.0.14.0/20061203 found nothing
eTrust-InoculateIT 23.73.75/20061203 found nothing
eTrust-Vet 30.3.3230/20061204 found nothing
Ewido 4.0/20061204 found nothing
F-Prot 3.16f/20061201 found nothing
F-Prot4 4.2.1.29/20061201 found nothing
Fortinet 2.82.0.0/20061204 found nothing
Ikarus 1.0.26/20061204 found nothing
Kaspersky 4.0.2.24/20061204 found nothing
McAfee 4909/20061201 found nothing
Microsoft 1.1804/20061204 found nothing
NOD32v2 1899/20061204 found nothing
Norman 5.80.02/20061204 found nothing
Panda 9.0.0.4/20061203 found nothing
Prevx1 V2/20061204 found nothing
Sophos 4.12.0/20061204 found nothing
Sunbelt 2.2.907.0/20061130 found nothing
TheHacker 6.0.3.127/20061201 found nothing
UNA 1.83/20061204 found nothing
VBA32 3.11.1/20061204 found nothing
VirusBuster 4.3.15:9/20061204 found nothing

Was kann denn das Problem sein, dass dieser Ordner und die exe Datei ständig neu geschrieben werden und auch mit "sicherem" Löschen (TweakPower ect.) nicht gelöscht werden können??:headbang:

Was kann ich noch probieren???:headbang: Bin am Verzweifeln

Viele Grüße
Flotte


Alle Zeitangaben in WEZ +1. Es ist jetzt 02:14 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19