Trojaner-Board - Hilfe !! Trojan.Downloader.JH;Backdoor.Blarul.D,Application .Spyware.WebHancer.A

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe !! Trojan.Downloader.JH;Backdoor.Blarul.D,Application .Spyware.WebHancer.A (https://www.trojaner-board.de/16221-hilfe-trojan-downloader-jh-backdoor-blarul-d-application-spyware-webhancer-a.html)

Hilfe !! Trojan.Downloader.JH;Backdoor.Blarul.D,Application .Spyware.WebHancer.A

Habe mir irgendwo drei Trojaner o.ä. gefangen und habe keine Ahnung wie ich die entfernt bekomme.
Mein PC Programm ist Windows 2000 mit Service Pack 4 und mein AntiViren Programm ist BitDefender 8 Professinal Plus. Anfangs waren die drei Trojaner (oder Viren?) im Ordner Temporary Internet Files. Nach mehrmaligen, nicht erfolgreichen, Versuchen diese über BitDefender zu löschen bzw. in Quarantäne zu verschieben konnte ich sie in den Papierkorb löschen. Leider bekomme ich diese aber nicht aus dem Recycler raus.
Der BitDefender meldet mir jedesmal nach einem Scan oder beim löschen des Papierkorbes dass er die Viren gefunden hat diese aber nicht löschen kann bzw. bei gelöscht hat aber das Update wäre fehlgeschlagen. Das BitDefender Update ist aktuell..
In der Zusammenfassung des Scan-Berichtes steht folgendes:

C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.inf Infiziert mit: Trojan.Downloader.JH
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.inf Desinfizieren fehlgeschlagen
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.inf Verschieben fehlgeschlagen
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.dll Infiziert mit: Trojan.Downloader.JH
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.dll Desinfizieren fehlgeschlagen
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.dll Verschieben fehlgeschlagen
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\ol-setup5.exe=>(NSIS o)=>zlib_nsis0001 Infiziert mit: Backdoor.Blarul.D
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\ol-setup5.exe=>(NSIS o)=>zlib_nsis0001 Desinfizieren fehlgeschlagen
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\ol-setup5.exe=>(NSIS o)=>zlib_nsis0001 Verschieben fehlgeschlagen
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\webhancer.exe=>(RAR Sfx o)=>WhAgent.exe Entdeckt:
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\webhancer.exe=>(RAR Sfx o)=>WhAgent.exe
Desinfizieren fehlgeschlagenC:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\webhancer.exe=>(RAR Sfx o)=>WhAgent.exe Verschieben fehlgeschlagen

Habe auch schon verschiedene Einstellungen von BitDefender versucht. Hier ist die Zusammenfasung von Löschen:

C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.inf Infiziert mit: Trojan.Downloader.JH
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.inf Gelöscht
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab Update fehlgschlagen
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.dll Infiziert mit: Trojan.Downloader.JH
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab=>Ole32ws.dll Gelöscht
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc92\cax[1].cab Update fehlgschlagen
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\ol-setup5.exe=>(NSIS o)=>zlib_nsis0001 Infiziert mit: Backdoor.Blarul.D
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\ol-setup5.exe=>(NSIS o)=>zlib_nsis0001 Gelöscht
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\ol-setup5.exe=>(NSIS o) Update fehlgschlagen
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\webhancer.exe=>(RAR Sfx o)=>WhAgent.exe Entdeckt: Application.Spyware.WebHancer.A
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\webhancer.exe=>(RAR Sfx o)=>WhAgent.exe Gelöscht
C:\RECYCLER\S-1-5-21-854245398-746137067-2145815843-500\Dc94.tmp\webhancer.exe=>(RAR Sfx o) Update fehlgschlagen

Weiss echt nicht mehr weiter. :headbang:
Spybot und Spyware konnten sie auch nicht löschen.

Kann mir jemand helfen?

klappts im abgesicherten modus?

@ gonzo2705

Problem ist der Backdoorvirus. Wahrscheinlich ist er schon im System aktiv gewesen dann ist die sicherste Lösung Neuaufsetzen

Erstelle mal ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Hallo Gigamail,
habe hier den LogFile

Logfile of HijackThis v1.99.1
Scan saved at 19:58:24, on 04.04.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\Digital Imaging\Unload\hpqcmon.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\Softwin\BitDefender8\bdoesrv.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\HP\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINNT\explorer.exe
C:\WINNT\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\Internet Explorer\IEXPLORE.EXE
E:\PROGRA~1\NICHTL~1\DAP\DAP.EXE
C:\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.t-online.de/service/redir/ie_suche.htm
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/service/redir/ie_t-online.htm
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von T-Online International AG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [CamMonitor] C:\Programme\HP\Digital Imaging\\Unload\hpqcmon.exe
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\HP\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [BDMCon] c:\progra~1\softwin\bitdef~1\bdmcon.exe
O4 - HKLM\..\Run: [BDOESRV] C:\Programme\Softwin\BitDefender8\\bdoesrv.exe
O4 - HKLM\..\Run: [BDNewsAgent] c:\progra~1\softwin\bitdef~1\bdnagent.exe
O4 - HKLM\..\Run: [BDSwitchAgent] C:\Programme\Softwin\BitDefender8\\bdswitch.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Download with &DAP - E:\PROGRA~1\NICHTL~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - E:\PROGRA~1\NICHTL~1\DAP\dapextie2.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/acti..._v1-0-3-17.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D724296-9614-4B5A-9448-349DFD50FAEF}: NameServer = 217.237.150.33 217.237.151.161
O17 - HKLM\System\CS1\Services\Tcpip\..\{3D724296-9614-4B5A-9448-349DFD50FAEF}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\System32\HPZipm12.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Wie gehts jetzt weiter?
Bin nicht so firm mit PC´s

gruß

in Deinem Log ist eigentlich nicht's schlechtes zu erkennen, vielleicht hast Du noch mal Glück und er war noch nicht im System. Lade Dir escan und update bei bestehender Inet Verbindung siehe Link unten.Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner.

Boote in den abgesicherten Modus und fixe mit HJT folgende Einträge:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

lösche von hand folgende Datei:

C:\WINNT\web\related.htm

Leere den Quarantäneordner vom Virenscanner (vorher deaktivieren)
leere Deinen Papierkorb
Lösche den Inhalt von Temporary Internet Files und Windows Temp

scanne jetzt mit escan
Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Zitat:

Zitat von Gigamail

in Deinem Log ist eigentlich nicht's schlechtes zu erkennen, vielleicht hast Du noch mal Glück und er war noch nicht im System. Lade Dir escan und update bei bestehender Inet Verbindung siehe Link unten.Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner.

Boote in den abgesicherten Modus und fixe mit HJT folgende Einträge:

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm Erledigt
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm Erledigt

lösche von hand folgende Datei:

C:\WINNT\web\related.htm Erledigt

Leere den Quarantäneordner vom Virenscanner (vorher deaktivieren)
leere Deinen Papierkorb
Lösche den Inhalt von Temporary Internet Files und Windows Temp

scanne jetzt mit escan
Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

Tue Apr 05 19:17:24 2005 => Total Objects Scanned: 45862
Tue Apr 05 19:17:24 2005 => Total Virus(es) Found: 7
Tue Apr 05 19:17:24 2005 => Total Disinfected Files: 0
Tue Apr 05 19:17:24 2005 => Total Files Renamed: 0
Tue Apr 05 19:17:24 2005 => Total Deleted Objects: 0
Tue Apr 05 19:17:24 2005 => Total Errors: 47
Tue Apr 05 19:17:24 2005 => Time Elapsed: 05:53:24
Tue Apr 05 19:17:24 2005 => Virus Database Date: 2005/04/04
Tue Apr 05 19:17:24 2005 => Virus Database Count: 124577

Tue Apr 05 19:17:24 2005 => Scan Completed.

Tue Apr 05 19:22:11 2005 => Virus Database Date: 2005/04/04
Tue Apr 05 19:22:11 2005 => Virus Database Count: 124577
Tue Apr 05 19:22:18 2005 => AV Library Unloaded (3)....

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

[msvLclnt.dll] [0x000001d4] 05/04/2005 18:25:39:837 :[00000001] File D:\Treiber\babylon32_ger_eng_ger.exe infected by not-a-virus:AdWare.Cydoor
[msvLclnt.dll] [0x000001d4] 05/04/2005 18:26:13:906 :[00000001] File D:\Treiber\spyblocs.exe infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x000001d4] 05/04/2005 18:28:12:236 :[00000001] File D:\Treiber\freeripmp3.exe infected by Trojan-Downloader.Win32.Agent.ic
[msvLclnt.dll] [0x000001d4] 05/04/2005 18:39:43:831 :[00000001] File E:\BilderDigiCam\Bundeswehr\Kleine Brogel 2002\DivX 5.02 Pro Codec with keygen.zip infected by not-a-virus:Tool.Win32.Reboot
[msvLclnt.dll] [0x000001d4] 05/04/2005 18:41:58:544 :[00000001] File E:\Dütt und Datt\Langeweile1_1.exe infected by not-a-virus:Joke.Win32.Langeweil

Und nu? :crazy:

diese noch im abgesicherten modus löschen:

D:\Treiber\babylon32_ger_eng_ger.exe
D:\Treiber\freeripmp3.exe
E:\Dütt und Datt\Langeweile1_1.exe

das andere ist unwichtig
neu booten
Problem sollte gelöst sein

:daumenhoc :daumenhoc

Super !!! Problem gelöst.
Recht herzlichen Dank.
Danke für den super tollen Support.

Gruß

:aplaus: :aplaus: