Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   trojaner ist hartnäckig (https://www.trojaner-board.de/5980-trojaner-hartnaeckig.html)

alex1274 21.06.2004 11:13
hi leute,
habe mir einen trojaner eingefangen und das entfernen wie hier im forum beschrieben mit antivir, e-scan im abgesicherten modus und hijack this versucht.

nix zu machen, immer wieder taucht der trojaner neu in den logs auf, nach löschen einfach unter einem anderen namen. hier das logfile:

Logfile of HijackThis v1.97.7
Scan saved at 12:08:46, on 21.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\atlpo32.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\WINNT\Mixer.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\sdknr32.exe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\4D Browser Mouse\Scw64.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINNT\System32\mdm.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Treiber&Software\HijackThis.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.lycos.de/search/msie40.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\xueny.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xueny.dll/index.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xueny.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\xueny.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xueny.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\xueny.dll/sp.html#10213
O2 - BHO: (no name) - {67ADFA69-2840-52FA-C690-C237682F8F6C} - C:\WINNT\system32\crkd.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [sdknr32.exe] C:\WINNT\system32\sdknr32.exe
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - Global Startup: 4D Browser Mouse.lnk = C:\Programme\4D Browser Mouse\Scw64.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19FA0E09-1CDB-4645-95EF-735C045BDA60}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{19FA0E09-1CDB-4645-95EF-735C045BDA60}: NameServer = 62.104.191.241 62.104.196.134

p.s.: wenn ich die zeilen 3 folgende lösche (res:/xueny.dll usw.), dann taucht im nächsten scan einfach eine andere dll mit dem gleichen effekt auf. auch die bereinigung mit adaware bringt keinen dauerhaften erfolg. kann jemand helfen? vielen dank im voraus!

alex

nitro 21.06.2004 14:23
genau so machen dann geht es komplett!!! weg [img]smile.gif[/img]
http://www.trojaner-board.de/forum/u...c;f=6;t=005614

alex1274 21.06.2004 15:49
wer lesen kann, ist klar im vorteil! sorry, aber das genau das hab ich ja schon gemacht, auch antivir mehrmals, im abgesicherten modus und normal, direkt danach noch e-clean UND hijackthis. trotzdem immer wieder mysteriöse startseiten.... echt zum kotzen! wer hat die lösung?

mmk 21.06.2004 15:54
Bitte etwas Geduld. Die Masse der Anfragen ist nicht gerade wenig. ;)

mmk 21.06.2004 16:53
Hallo!

C:\WINNT\system32\atlpo32.exe
C:\WINNT\system32\sdknr32.exe
C:\WINNT\xueny.dll
C:\WINNT\system32\crkd.dll

Prüf diese Dateien bitte hier:

http://www.kaspersky.com/de/scanforvirus
Poste hier die Ergebnisse, bevor du was löschst!


Markiere dann die folgenden Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\xueny.dll/sp.html#10213
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = res://xueny.dll/index.html#10213
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = res://xueny.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\xueny.dll/sp.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = res://xueny.dll/index.html#10213
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\xueny.dll/sp.html#10213
O2 - BHO: (no name) - {67ADFA69-2840-52FA-C690-C237682F8F6C} - C:\WINNT\system32\crkd.dll
O4 - HKLM\..\Run: [sdknr32.exe] C:\WINNT\system32\sdknr32.exe


Geh dann wie folgt vor:

1.) Den Internet Explorer und alle Windows Explorer Fenster schließen.
2.) In HijackThis die oben genannten Einträge markieren, dann "Fix checked" wählen.
3.) Systemwiederherstellung deaktivieren. http://www.systemwiederherstellung-d...indows-xp.html
4.) Windows im abgesicherten Modus (dazu Taste F8 nach dem Einschalten des PC's gedrückt halten und anschl. Start im abgesicherten Modus auswählen) starten.
5.) Dort alle oben genannten Dateien löschen!
6.) eScan laufen lassen (nicht vergessen, vorher updzudaten): http://www.trojaner-board.de/forum/u...c;f=6;t=005602
6.) Neustart im normalen Modus.
7.) Prüfen mit HijackThis, ob alles entfernt wurde.
8.) Browserwechsel. Mit dem IE wirst du immer wieder mit solchen Trojanern "beglückt" werden. Tipp: Mozilla Firefox: http://mozilla-europe.org/de/

alex1274 23.06.2004 10:26
ich habe win2k als betriebssystem, nicht xp. gibts bei 2000 auch diese option systemwiederherstellung? hab beim googeln nix gefunden...

das system ist noch immer befallen, irgendwie kann ich die wurzel des übels nicht rausreißen... hab alles genauso gemacht wie besprochen. moment, poste noch mal das hijack-log:
Logfile of HijackThis v1.97.7
Scan saved at 11:25:30, on 23.06.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\tcpsvcs.exe
C:\WINNT\System32\snmp.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINNT\Mixer.exe
C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\0190 Alarm\0190Alarm.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\Programme\4D Browser Mouse\Scw64.exe
C:\WINNT\System32\mdm.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Microsoft Script Debugger\msscrdbg.exe
C:\Dokumente und Einstellungen\Administrator\Eigene Dateien\Treiber&Software\HijackThis.exe

O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\winnt\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [C-Media Mixer] C:\Programme\PCI Audio Applications\Bin\AudioRack.exe /MixerStartup
O4 - HKLM\..\Run: [TkBellExe] C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe -osboot
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /O5 "LPT1:" /M "Stylus C84"
O4 - HKLM\..\Run: [FastTVSync] "C:\Programme\Gemeinsame Dateien\InterVideo\FastTVSync\FastTVSync.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [winupd] C:\WINNT\system32\winupd.exe
O4 - HKCU\..\Run: [0190 Alarm] C:\Programme\0190 Alarm\0190Alarm.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [EPSON Stylus C84 Series] C:\WINNT\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C84 Series" /M "Stylus C84" /EF "HKCU"
O4 - Global Startup: 4D Browser Mouse.lnk = C:\Programme\4D Browser Mouse\Scw64.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
O12 - Plugin for .mov: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...l_v1-0-3-0.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{19FA0E09-1CDB-4645-95EF-735C045BDA60}: NameServer = 62.104.191.241 62.104.196.134
O17 - HKLM\System\CS1\Services\Tcpip\..\{19FA0E09-1CDB-4645-95EF-735C045BDA60}: NameServer = 62.104.191.241 62.104.196.134

jedesmal wenn ich den ie aufmache, kriege ich von antivir eine trojaner-meldung nach der anderen... so langsam werde ich paranoid [img]graemlins/koch.gif[/img]

mmk 23.06.2004 16:22
Sorry, hatte mich bei dem Betriebssystem verguckt. Nein, da gibt es diese Funktion nicht (Systemwiederherstellung).


1.) Was ergaben die vorgeschlagenen Prüfungen der Dateien?
2.) Welche Meldungen bekommst du derzeit vom AV-Programm genau?
3.) Diesen Eintrag fixen:
O4 - HKLM\..\Run: [winupd] C:\WINNT\system32\winupd.exe
4.) Beherzige den Tipp des Browserwechsels.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:23 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19