Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Troj_LoDMedud.a (https://www.trojaner-board.de/13120-troj_lodmedud-a.html)

dedel 01.02.2005 14:20
Troj_LoDMedud.a
 
Moin

bisher hatte ich ja Glück gehabt, aber nun hats mich erwischt.
Mein Trend Micro findet immer den "Troj_LoDMedud.a" kann ihn aber nicht löschen. Die dazugehörige Datei ist folgende "qulmirke5.exe", diese Datei soll laut Scanner mit dem Trojaner infiziert sein und im Windows\System32 Pfad liegen dort ist sie allerdings nicht zu finden. Nach langer Suche in der Regiestrierung waren einige Einträge zu finden, festgestellt das sich das Programm als Systemdienst anmeldet. Also Dienst deaktiviert und Einträge gelöscht und das ganze geht 5 Minuten gut dann ist er wieder da. Hat jemand eine Idee wie das blöde Ding loswerde ??

Danke im vorraus
Dedel

cacatoa 01.02.2005 14:36
Hi,
sinnvoll wäre es mal ein HiJackThis-Logfile zu posten. Gibt´s hier.
cacatoa

dedel 01.02.2005 14:54
Danke ersteinmal

hätte ich auch selber drauf kommen können, aber irgendwann ist man so gefrustet also hier die Logdatei



C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\UTILITIES\Antivirus Personal Edition - AVP\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\OfficeScan NT\tmlisten.exe
C:\UTILITIES\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\WinAmp\winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\OfficeScan NT\pccntmon.exe
C:\utilities\quicktime 6.52\qttask.exe
C:\Programme\MSWorks 4.5\MSWORKS.EXE
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\Programme\Microsoft OfficeXP\Office10\WINWORD.EXE
C:\UTILIT~1\WinZip\winzip32.exe
C:\DOKUME~1\Frank\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Recommended Hotfix - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Programme\Recommended Hotfix - 421701D\v15\RH.DLL (file missing)
O2 - BHO: (no name) - {FC93EF98-BC26-930C-6E8C-B2FDCF493918} - C:\WINDOWS\System32\lcokncdg.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\WinAmp\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB002" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [IO-Monitor] "C:\OfficeScan NT\pccntmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\utilities\quicktime 6.52\qttask.exe" -atboottime
O4 - Startup: Virenupdate.pif = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft OfficeXP\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/248cf1f5...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFF7CB9A-535B-4953-824B-CE6E77C6985A}: NameServer = 134.102.149.1,195.90.8.2
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\UTILITIES\Antivirus Personal Edition - AVP\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\UTILITIES\Antivirus Personal Edition - AVP\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: OfficeScan RealTime Scan - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: OfficeScan Listener - Unknown - C:\OfficeScan NT\tmlisten.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\UTILITIES\Drive Image 7.0\Agent\PQV2iSvc.exe

cacatoa 01.02.2005 14:56
Lasse mal die DAtei:
C:\WINDOWS\System32\lcokncdg.dll
bei Jotti online scannen und poste ds 10-zeilige Ergebnis rein. Außerdem auch noch die 4 Kopfzeilen des Logfiles.
cacatoa

dedel 01.02.2005 15:06
Ja danke
so hier die ersten 4 Zeilen des logfiles
Wenn man Google über den Trojaner befragt scheint der zut Zt. auch nur bei Trend Micro bekannt zu sein. AntiVir zb. findet ihn überhaupt nicht.

Logfile of HijackThis v1.99.0
Scan saved at 14:50:26, on 01.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

und das Ergebnis

AntiVir
No viruses found (0.16 seconds taken)

Avast
No viruses found (1.51 seconds taken)

BitDefender
No viruses found (0.37 seconds taken)

ClamAV
No viruses found (1.35 seconds taken)

Dr.Web
No viruses found (1.75 seconds taken)

F-Prot Antivirus
No viruses found (0.27 seconds taken)

Kaspersky Anti-Virus
No viruses found (1.93 seconds taken)

mks_vir
No viruses found (0.63 seconds taken)

NOD32
No viruses found (1.18 seconds taken)

Norman Virus Control
No viruses found (0.54 seconds taken)

cacatoa 01.02.2005 15:09
Sind bei Dir alle Dateien sichtbar?
Mache den scan mit Trend Micro mal im abgesicherten Modus.
Und vor allem:
System updaten!!!

dedel 01.02.2005 15:15
Ja alle Dateien sichtbar
und im abgesicherten Modus sagt er immer "Fehler beim verschieben der Datei"
Ich wollte eigentlich nicht so unbedingt Service Pack 2 drauf haben.
Sonst sind die Updates so ziemlich auf dem neusten Stand

cacatoa 01.02.2005 17:21
Wieso kein SP2? Gibt doch keine Probleme.
Mch mal im abgesicherten Modus bei deaktiverter Systemwiederherstellung einen eScan und poste das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
eScan dauert ca. 1 Stunde.


Alle Zeitangaben in WEZ +1. Es ist jetzt 22:47 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19