Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   WORM/Ider.A.Rkit (https://www.trojaner-board.de/24919-worm-ider-a-rkit.html)

pRiNcE_de_1st 26.12.2005 18:30

WORM/Ider.A.Rkit
 
Hallo alle zusammen!

Der Wurm "Ider.A.Rkit" macht mir in den letzten ganz schön zu schaffen!

Jedes mal, wenn ich meinen Rechner reboote zeigt mir mein AntiVir PersonalEdition Classic (update auf dem neusten Stand) folgende Meldung an:

C:\WINDOWS\SYSTEM32\HP5CE0.TMP

Enthält Signatur des Wurmes WORM/Ider.A.Rkit

Darauf hin kann ich die betroffene Datei zwar löschen aber ich kann meinen Rechner nicht Immunisieren, sprich der Wurm ist bei jedem Reboot wieder mit von der Partie.

Hat jmd eine Idee, wie ich mir diesen lästigen Quälgeist vom Hals halten kann?
Wenn ja, wärs nett wenn hier jmd posten würde..

mfG pRiNcE_de_1st

cosinus 26.12.2005 18:35

Bitte so ein Log erstellen und posten.

pRiNcE_de_1st 26.12.2005 18:39

Hier:

Logfile of HijackThis v1.99.1
Scan saved at 18:39:17, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
E:\ICQLite\ICQLite.exe

cosinus 26.12.2005 18:54

Das Log ist nicht vollständig!
Bitte nur vollständig posten!

pRiNcE_de_1st 26.12.2005 19:22

Sry hier:

Logfile of HijackThis v1.99.1
Scan saved at 19:21:27, on 26.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
E:\ICQLite\ICQLite.exe
C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\WinZip\WZQKPICK.EXE
E:\MOZILL~1\FIREFOX.EXE
E:\Teamspeak2_RC2\TeamSpeak.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\PROGRA~1\WINZIP\winzip32.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Jan Scobel\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.the-pimps.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
O2 - BHO: HomepageBHO - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp6AFE.tmp (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - E:\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ICQ Lite] E:\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [C-Media Echo Control] C:\Programme\PCI Audio Applications\Bin\EchoCtrl.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_05\bin\jusched.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] E:\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe

also ich habe keine Ahnung von solchen Dingen! ^^

cosinus 26.12.2005 19:33

Zitat:

C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\mssearchnet.exe
Anscheinend hast Du den Trojaner Zlob installiert.
Bitte scan Deinen PC mal mit eScan genau nach dieser Anleitung von @Cidre.

Haui45 26.12.2005 19:40

@ pRiNcE_de_1st & cosinus
Für solche Infektionen haben wir einen Extra-Thread -> http://www.trojaner-board.de/showthread.php?t=21709


@pRiNcE_de_1st
Bevor du die Anleitung abarbeitest, solltest du die Datei C:\WINDOWS\SYSTEM32\HP5CE0.TMP auf http://virusscan.jotti.org/de überprüfen und das Ergebnis posten. Ein kurze Beschreibung dazu findest du hier (natürlich geht es bei dir nicht um die scvhost.exe ;)).

pRiNcE_de_1st 26.12.2005 20:35

@ Haui:
The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file.

Mehr kommt da nicht!

Haui45 26.12.2005 20:48

Kopiere die Datei im abgesicherten Modus z.B. in einen von dir erstellten Ordner C:\Boese\
Benenne sie dann in HP5CE0.TMP.VIR um
Überprüfe diese Datei nach einem Neustart auf der o.g. Seite.

inueG 26.12.2005 21:28

Tag auch.
Habe zwar nicht die grosse ahnung aber mir hat seit 1std das einfache
umbenehnen der "C:\WINDOWS\system32\nvctrl.exe" datei geholfen
Habe jetzt ruhe, hoffe es bleibt so :heilig:

Haui45 27.12.2005 12:10

Zitat:

Zitat von inueG
Tag auch.
Habe zwar nicht die grosse ahnung aber mir hat seit 1std das einfache
umbenehnen der "C:\WINDOWS\system32\nvctrl.exe" datei geholfen
Habe jetzt ruhe, hoffe es bleibt so :heilig:

Das ist ein äußerst blauäugiges Vorgehen und beseitigt keinesfalls die Infektion. Vielmehr solltet du den Thread zur Entfernung des Trojaners Smitfraud.c durcharbeiten.

inueG 27.12.2005 13:29

Zitat:

Zitat von Haui45
Das ist ein äußerst blauäugiges Vorgehen und beseitigt keinesfalls die Infektion. Vielmehr solltet du den Thread zur Entfernung des Trojaners Smitfraud.c durcharbeiten.


Hatte auch nichts anderes behauptet, aber geholfen hat es nun mal
Es kommen keine meldungen mehr von antiVir outpost usw

Haui45 27.12.2005 13:45

Zitat:

Zitat von inueG
Es kommen keine meldungen mehr von antiVir outpost usw

Und das ändert genau was an der Gesamtsituation?
Meine "Schutzprogramme" melden nichts mehr und ich kann wieder beruhigt schlafen? :lach:

pRiNcE_de_1st 27.12.2005 16:12

@ HAUI:

Die Datei "HP5CE0.TMP" existiert auf meinem Rechner nicht! oO

Haui45 27.12.2005 16:41

Zitat:

Zitat von pRiNcE_de_1st
Die Datei "HP5CE0.TMP" existiert auf meinem Rechner nicht! oO

Zitat:

Zitat von pRiNcE_de_1st
Jedes mal, wenn ich meinen Rechner reboote zeigt mir mein AntiVir PersonalEdition Classic (update auf dem neusten Stand) folgende Meldung an:

C:\WINDOWS\SYSTEM32\HP5CE0.TMP

:confused:


Arbeite bitte den o.g. Thread durch un poste alle Logfiles (smitrem, HijackThis und eScan)


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:21 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131