Trojaner gefunden
 

Mcafee findet auf meinem pc beim start des IE immer ein Trojanisches Pferd.
Bei erkannt als steht "Downloader-VA"
Dateiname ist khpdqhb.sys und befindet sich in c:\winnt\system32\drivers

Datei wird beim öffnen des ie gelöscht,taucht bei jedem Aufruf aber erneut auf.
Mit Toolbarcop habe ich nachgesehen und eine toolbar gefunden,diese habe ich gelöscht.IE aufgerufen ok.
Nach PC neustart ist der Trojaner aber erneut aufgetreten.
Toolbarcop zeigt eine andere dll an die aufgerufen wird,das ganze habe ich mehrmals probiert jedesmal steht eine andere dll drin deren name anscheinend willkürlich erstellt wird.
Kennt das wer?

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:http://www.trojaner-board.de/51130-a...ijackthis.html Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

http://www.cosgan.org/images/midi/konfus/g045.gif

Hoffe das passt so:


Logfile of HijackThis v1.98.2
Scan saved at 13:37:55, on 15.02.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\drivers\CDAC11BA.EXE
C:\WINNT\system32\svchost.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\WINNT\SOUNDMAN.EXE
C:\Programme\Network Associates\Common Framework\UpdaterUI.exe
C:\Programme\Network Associates\VirusScan\SHSTAT.EXE
C:\Programme\advapps\ADVInstaller\ADVInst.exe
C:\WINNT\system32\ntvdm.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\WINNT\system32\internat.exe
C:\Programme\Nokia\Nokia PC Suite 6\pcsync2.exe
C:\Corel\Graphics8\Programs\MFIndexer.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\WINNT\system32\rsvp.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1C0CD4A1-3A3C-2471-50AA-1495B2250D7B} - (no file)
O2 - BHO: (no name) - {3CA18F85-5DF5-1B39-F487-A595D459F77C} - C:\WINNT\system32\kupvpdkm.dll
O3 - Toolbar: (no name) - -{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKLM\..\Run: [AdvInstaller] C:\Programme\advapps\ADVInstaller\ADVInst.exe /SCHEDULER
O4 - HKLM\..\Run: [RealOnePlayer] C:\Programme\Real\RealOne Player\REALONEBENUTZERSMS.EXE /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DataLayer] C:\PROGRA~1\GEMEIN~1\PCSuite\DATALA~1\DATALA~1.EXE
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\PROGRA~1\Nokia\NOKIAP~1\TRAYAP~1.EXE
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [IntelliPointSetup] "c:\programme\microsoft intellipoint 4.0\mouse\Setup.exe" /skiptoieinstall
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\pcsync2.exe /NoDialog
O4 - Global Startup: Corel MEDIA FOLDERS INDEXER 8.LNK = C:\Corel\Graphics8\Programs\MFIndexer.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

Du arbeitest mit einem alten HJT, ist der aus dem Link was ich Dir gepostet habe?

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung

Fixe folgende Einträge:

O2 - BHO: (no name) - {1C0CD4A1-3A3C-2471-50AA-1495B2250D7B} - (no file)
O3 - Toolbar: (no name) - -{0494D0D9-F8E0-41AD-92A3-14154ECE70AC} - (no file)
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

lösche von Hand folgende Dateien:

C:\WINNT\web\related.htm

Folgende Datei mal hier http://virusscan.jotti.org/de online scannen

C:\WINNT\system32\kupvpdkm.dll
Ergebnis 10 Zeilen wieder rein posten

neu booten neues HJT

http://www.cosgan.org/images/midi/konfus/c060.gif