|
Vermute Trojaner getarnt als MDM.EXE.Bitte um Hilfe Hallo! Pünktlich zum Start der Grippewelle habe wohl nicht nur Ich mich infiziert, sondern mein werter Rechner auch. Hatte schon seit Jahren keine Bug-Probleme oder konnte mir zumindest immer selbst helfen. Doch diesmal bin ich Ratlos. Ich denke, dass ich mir einen Trojaner über USB eingefangen habe, da dieser bei mir in der Uni auch derzeit kursiert. Verdächtig erscheint mir der Task SVCHOST.EXE, der im Taskmanager bei mir in Großbuchstaben steht und scheinbar in Verbindung mit der - unter WINDOWS befindlichen Applikation MDM.EXE steht. Ich weiß was diese .exes normalerweise bedeuten, doch nach 2 Tagen Rumforscherei, bin ich mir sicher, dass mit beiden was nicht stimmt. Habe die MDM.EXE gelöscht, Prozesse beendet, Registry-Einträge gelöscht, aus dem Autostart entfernt, Prefetches gelöscht; nix hat geholfen. Wie gesagt, kann mir selbst nicht mehr helfen. Dass was nicht stimmt habe ich gemerkt, als die Verknüpfungen ZU MEINEN FESTPLATTEN in der Quick-Launch-Leiste nicht mehr funktionierten. Sämtliche anderen Verknüpfungen funzen einwandfrei. Hier das Log: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 03:57:20, on 20.01.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: F:\WINDOWS\System32\smss.exe F:\WINDOWS\system32\winlogon.exe F:\WINDOWS\system32\services.exe F:\WINDOWS\system32\lsass.exe F:\WINDOWS\system32\svchost.exe F:\WINDOWS\System32\svchost.exe F:\WINDOWS\system32\ZoneLabs\vsmon.exe F:\WINDOWS\Explorer.EXE F:\WINDOWS\system32\spoolsv.exe F:\Programme\Bonjour\mDNSResponder.exe F:\WINDOWS\system32\nvsvc32.exe F:\WINDOWS\system32\svchost.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe F:\WINDOWS\system32\RUNDLL32.EXE F:\Dokumente und Einstellungen\Richman\Lokale Einstellungen\Anwendungsdaten\Google\Update\GoogleUpdate.exe C:\Winamp\winamp.exe F:\Dokumente und Einstellungen\Richman\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe F:\Dokumente und Einstellungen\Richman\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe C:\Trillian\trillian.exe F:\Dokumente und Einstellungen\Richman\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe F:\Dokumente und Einstellungen\Richman\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe F:\Dokumente und Einstellungen\Richman\Lokale Einstellungen\Anwendungsdaten\Google\Chrome\Application\chrome.exe F:\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: ContributeBHO Class - {074C1DC5-9320-4A9A-947D-C042949C6216} - C:\Adobe\/Adobe Contribute CS4/contributeieplugin.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - F:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Programme\Java\jre1.6.0_05\bin\ssv.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Veoh Browser Plug-in - {D0943516-5076-4020-A3B5-AEFAF26AB263} - C:\Veoh\Plugins\reg\VeohToolbar.dll O3 - Toolbar: Contribute Toolbar - {517BDDE4-E3A7-4570-B21E-2B52B6139FC7} - C:\Adobe\/Adobe Contribute CS4/contributeieplugin.dll O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE F:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE F:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [SVCHOST] F:\WINDOWS\MDM.EXE O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: An vorhandenes PDF anfügen - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - F:\Programme\Java\jre1.6.0_05\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab O23 - Service: Adobe Version Cue CS4 - Adobe Systems Incorporated - F:\Programme\Gemeinsame Dateien\Adobe\Adobe Version Cue CS4\Server\bin\VersionCueCS4.exe O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - F:\Programme\Bonjour\mDNSResponder.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - F:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - F:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - F:\WINDOWS\system32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - F:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6275 bytes So: Falls noch was fehlt, kann ich spezifisches noch gern nachforschen. Hoffe, dass Ihr mir hier helfen könnt! Besten Dank im vorraus, Rich |
:hallo: Könntest du evtl. den genauen Standort der Datei uns sagen ? |
Steht im Log... O4 - HKLM\..\Run: [SVCHOST] F:\WINDOWS\MDM.EXE besten Gruß! |
Dass die Datei im system32 Ordner liegt ist gut :daumenhoc Die Datei ist ein Script Debugger für/von .Net Framework 3.1 Falls du noch sicherer sein willst, lade die Datei bei VirusTotal - Free Online Virus and Malware Scan hoch und lass sie auswerten :) |
ääähm, danke aber das weiß ich wohl. die Datei liegt eben NICHT im sys32! |
Hallo, Zitat:
Microsoft Malware Protection Center - Search : F:\WINDOWS\MDM.EXE |
Es ist eben NICHT der System32 Ordner. Die Datei ist im Windows-Ordner! Laut Virustotal.com ist es definitiv nen Bug. Da sind wir schonmal einen Schritt weiter, dank geht an Mr. Vain. @Crusader, sorry. Kann mit dem Link grad nicht viel anfangen. Bitte um Erläuterung. besten Gruß und Dank |
Hi, kein Script Debugger, sondern das sieht sehr nach dem hier aus: Zitat:
|
Besten Dank Karl. Das ist er auch! Habe ich eine Alternative zu Format-C?:heulen: bG |
TACH! Heute habe ich C formatiert und Windows neuinstalliert. PUSTEKUCHEN, der Trojaner war immer noch drauf:headbang:. Anscheinend hatte sich das Mistvieh auch auf meine anderen Partitionen ausgebreitet. Des Rätsels Lösung war jedoch so unsagbar einfach. Nachdem ich Windows neuinstalliert habe und gesehen habe, dass die MDM.EXE (IM WINDOWS-ORDNER) immer noch drauf war und der Prozess SVCHOST.EXE nach wie vor lief, war ich ratlos und zog mir - mit dem Gedanken, alle Platten formatieren zu müssen - AntiVir von Avira runter. Und - wer hätte das gedacht? PROBLEM GELÖST! Keine Autostart-Einträge, keine laufenden Prozesse, keine Registry-Einträge und die Festplattenverknüpfungen funzen wieder. 26 Trojaner hatten sich auf dem fruchtbaren Boden meiner Festplatten verbreitet. Die Übeltäter: TR/Agent.Abt.3 TR/Dldr.BZW TR/Agent.Abt.34 TR/Crypt.XPACK.Gen Das hat Nerven gekostet. Danke euch nochmal. besten virenfreien Gruß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:51 Uhr. |
Copyright ©2000-2025, Trojaner-Board