Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wichtig: Neuer Trojaner (https://www.trojaner-board.de/17052-wichtig-neuer-trojaner.html)

RobinvonLoxley 25.04.2005 16:07
Wichtig: Neuer Trojaner
 
:koch: Als Hintergundbild (nicht mehr veränderbar, da entsprechende Registerkarte verschwunden) steht eine "Security Warning":
A fatal error in IE has occurred at 0028:C0011E36 in VXD VMM(01) +
00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.C

* System can not function in normal mode.
Please check your security settings.
* Scan your PC with any available antivirus / spyware remover
program to fix the problem.

Weder AdAware noch Spybot finden aber irgendetwas.

Aktivierte Windows Firewall (XP Pro + SP2) warnt auf eigener HTML-Page ständig vor Spyware (Werbeseite für AntiSpy-Software,
AntiVirus Build 1035 vom 16.3. 2005 meldet zwar regelmaessig Trojaner-Infizierte Dateien, kann diese aber nicht löschen oder in das Quarantaeneverzeichnis verschieben... Datei belassen und Zugriff verweigern ist die einzig mögliche Operation.

Logfile of HijackThis v1.99.1
Scan saved at 17:05:08, on 25.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\popuper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\system32\intmonp.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

gary 25.04.2005 16:20
@ RobinvonLoxley

bei dir sitzt der Wurm drin

Zitat:
C:\WINDOWS\system32\msole32.exe
Siehe hier ---> http://www.virus-buster.com/en/virus...tions/sambud.n

und das hier (Neuer Trojaner)
Zitat:
C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\intmonp.exe
gehört zu dem hier ---> http://www.percomp.de/query/show_entry.php?index=1473

Wurm = Neuaufsetzen = ---> http://www.trojaner-board.de/showthread.php?t=12154 ;)

Rene-gad 25.04.2005 16:27
@RobinvonLoxley
Versuche mal über Systemsteureung/Software alle verdächtigen Programme zu deinstallieren. Danach poste bitte den vollständigen HJT-Log.

RobinvonLoxley 25.04.2005 16:46
Liste der Anhänge anzeigen (Anzahl: 2)
Hallo Gary !

Vielen Dank für die schnelle Antwort, habe tatsaechlich die Datei wp.bmp im Root (C:) gefunden...

Keine andere Chanece als Wurm = Neuaufsetzen ?

Danke auch an Rene-gad,
habe jedoch keinerlei mir unbekannte Software gefunden
(siehe Attachments)

Bin vielleicht ja auch nur zu doof dazu, aber was meinst Du mit VOLLSTAENDIGEM HJT-Log ? Wie mache ich das denn ?
(Oh Gott, bin ich doof,,,)

Lese nebenbei auch gerade den thread von benjilein( habe den wp-Trojaner),
sorry, habe ich vorher nicht gesehen, sonst hätte ich mich dort angehängt :kloppen:

gary 25.04.2005 19:27
Die Anleitung findest hier

Und das hier kannst du auch mal lesen http://oschad.de/wiki/index.php/Kompromittierung

;) gary

RobinvonLoxley 26.04.2005 15:19
Vielen Dank fuer die wirklich hilfreichen Tricks...

Habe meinen Rechner gesaeubert nach der Anleitung von unserem leicht begriffs-stutzigem "Benjilein",
hat alles prima geklappt,
aber ganz sauber ist das System offenbar immer noch nicht,
denn die PopUps (Ads) erscheinen immer noch.
Wenigstens kann ich mein Hintergrundbild jetzt wieder einstellen :-) )

Vielleicht hilt ja der aktuelle HJT:

Logfile of HijackThis v1.99.1
Scan saved at 16:03:52, on 26.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\popuper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\intmonp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe
C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
C:\Programme\WinZip\WZQKPICK.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe /startupscan
O4 - Global Startup: SnagIt 6.lnk = C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {72BF1410-2E34-4A14-89B9-6EB5381D684C} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {72BF1410-2E34-4A14-89B9-6EB5381D684C} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: PicGrab - {E2D9EEDA-E5F7-4714-AE5A-61F49EB7636E} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Gigamail 26.04.2005 16:24
@ RobinvonLoxley

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und lösche folgende Dateien. Vorher Prozesse beenden

C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\popuper.exe

Datenträgerbereinigung:
Windowstaste+R --> %Temp% --> <enter>
Inhalt löschen
Windowstaste+R --> cleanmgr --> <enter>
Klick bei temp
klick bei temporary internet files
klick bei papierkorb
ok

neu booten neues HJT posten (im normalen Modus)

RobinvonLoxley 26.04.2005 22:14
Moin Gigamail !

so getan wie befohlen :bussi:

Korrektur zum Hintergrundbild:
Nur die Registerkarten Bildschirmschoner & Einstellungen sind unter Eigenschaften-Anzeige zu sehen. :pukeface:

Hier der neue HJT:

Logfile of HijackThis v1.99.1
Scan saved at 23:10:38, on 26.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe
C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
C:\Programme\WinZip\WZQKPICK.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe /startupscan
O4 - Global Startup: SnagIt 6.lnk = C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {72BF1410-2E34-4A14-89B9-6EB5381D684C} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {72BF1410-2E34-4A14-89B9-6EB5381D684C} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: PicGrab - {E2D9EEDA-E5F7-4714-AE5A-61F49EB7636E} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Gigamail 27.04.2005 09:48
Also Dein Log sieht eigentlich sauber aus. Frage kennst Du folgendes Programm:
C:\Programme\PicGrab\iestarter.exe

Zitat:
Korrektur zum Hintergrundbild:
Nur die Registerkarten Bildschirmschoner & Einstellungen sind unter Eigenschaften-Anzeige zu sehen.
dann lese mal hier bei Cidre vielleicht hilft das.

RobinvonLoxley 27.04.2005 14:16
Zitat:
Zitat von Gigamail
Frage kennst Du folgendes Programm:
C:\Programme\PicGrab\iestarter.exe
Ja, PicGrab\iestarter ist eine Routine von PicGrab zum "Abfischen" von Fotos aus internetpages, kann aus dem ie gestertet werden. aber beides (picgrab & ie) schmeiss ich jetzt runter
:daumenhoc thx an Gigamail.

...und mit Hilfe der Registry-Bereinigungs-Scripte von Cidre sind auch alle Registerkarten wieder da !!!
:daumenhoc thx an Cidre

Moquai 28.04.2005 09:43
hey Robin...

ich hab leider das selbe Problem was dich plagt zwecks des blauen Bildschirm.
Habe aber schon nachgesehn und finde von denn Daten nichts bei mir:::

wie hast du das wieder hinbekommen? ;)


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:02 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27