Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   desktopplagegeist (https://www.trojaner-board.de/25082-desktopplagegeist.html)

elde 30.12.2005 10:43
desktopplagegeist
 
mahlzeit!

ein solches problem wird zwar aktuell grad von "Jake-Bryan" beschrieben, da ich als absoluter amateur allerdings nur "bahnhof" verstehe, wurde mir empfohlen, ein neues tema anzufangen.

so, folgendes konnte ich bislang selbst "ermitteln":

- ein highjack-dingsbumms war/ist mir unbekannt. ich folgte also der anleitung. dies führte dazu, das mein anti-virenprogramm (mc afee) 3 mal einen wm32sober wurm fand (nach dem download des highjackthis programms). also habe ich dieses programm nicht.

- ich habe ein weiteres anti-virenprogramm heruntergeladen (hier auf der site empfohlen). jedenfalls sucht dort ein luke filewalker nach viren und ähnlichem. dieses programm stürtzt dann regelmässig ab.... :mad:

- ich bekomme fehlermeldungen, daß entweder "explorer.exe" oder "server.wnd" fehler verursachen, und deshalb geschlossen werden müssen. suche ich nach diesen programmen, verursachen diese wiederum erneut fehler, und werden geschlossen.... ein teufelskreis:mad:

da ich wirklich keine ahnung vom pc habe, bitte ich um wirklich einfach ausgedrückte hilfeanleitungen. ich habe den pc geschenkt bekommen und ausser regelmässigem ebay-surfen und ein wenig online-zocken, mache ich nicht allzu viel damit.

gibt es nicht ein zuverlässiges anti-virenprogramm, daß diesen plagegeist einfach erkennt und bannt?

für eure hilfe bekanke ich mich schonmal im voraus!

mfg
elde

hoerni26 30.12.2005 10:44
hallo,

bitte poste ein HJT logfile.
anleitung dazu findest du in dem link meiner signatur.

gruß

elde 30.12.2005 11:16
genau diese anleitung verfolgte ich gestern abend bereits. nach jedem entpacken des programms meldete mein virencenter alarm...

werds noch einmal versuchen, vielleicht kamen die würmer ja woanders her?

EDIT:

ja, der wurm kommt vom download! jedesmal, wenn ich entpacke, wird ein wm32generic wurm festgestellt, und gleichsam die "highjackthis.exe" gelöscht.... somit drehe ich mich im kreis. das programm, das ich bräuchte, um den vermeindlichen virus zu finden, bringt mir einen neuen virus.

hoerni26 30.12.2005 11:18
das kannste ruhig entpacken da passiert nix.
mal ne frage.
welches virenprogramm hast du denn??

Shadow 30.12.2005 11:22
@ Hoerni26: in seinem ersten Posting schrieb er deutlich "mc afee" :)
(ist aber schon 40 Minuten her)

@ elde: benutze nur EIN Antivirenprogramm als Hintergrundwächter.
Es gibt kein AV-Programm was vor allem schütztAktualisiere dein AV-Programm regelmäßig und dass ein aktuelles McAfee in HiJackThis (aus originaler Quelle) einen SoberWurm (auch fälschlich) findet mag ich nicht so recht glauben. Ich teste aber mal was.

elde 30.12.2005 11:28
also, nochmals andre links versucht.....

immer das gleiche spiel:

-anleitung lesen (könnte ja fehler machen)

- download (oder direktdownload, kommt aufs gleiche raus bei mir)

- datei erfolgreich runtergleaden

- entpacken in eigens erstellten ordner

- entpacken fertig, und dann die tolle meldung:

"es wurde ein virus ermittelt und bereinigt. die datei C:.... (blabla) war mit dem virus:

w32/generic.worm!p2p

infiziert und wurde gelöscht.


- somit ist mein ordner mit dem entpackten programm immer wieder leer. was kann ich tun, wenns selbst an der anti-viren software scheitert?

hoerni26 30.12.2005 11:31
dann lass nur ein virenprogramm im hintergrund laufen.
gab bisher nie probleme damit.

Shadow 30.12.2005 11:36
Zitat:
Zitat von hoerni26
dann lass nur ein virenprogramm im hintergrund laufen.
gab bisher nie probleme damit.
Ich würde vorschlagen, dass er kein Virenprogram laufen läßt, allerdings wie ich oben schon erwähnt habe nur ein Antivirenprogramm als Hintergrundwächter. :balla:

elde 30.12.2005 11:43
aaalso:

ich soll mcafee vorerst deaktivieren (trotz virenmeldung), dann highjackthis runterladen, entpacken (also anleitung folgen), und dann die "auswertung" von hjt hier posten?

ich frag lieber 2 mal nach, da ich mir trotz virenprogramm was eingefangen habe...

elde 30.12.2005 11:55
so,
mcafee deaktiviert, hier mein (nach anleitung bearbeitetes) logfile:




Logfile of HijackThis v1.99.1
Scan saved at 11:49:14, on 30.12.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe
C:\Programme\Lexmark X1100 Series\lxbkbmon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\System32\CTsvcCDA.exe
c:\programme\mcafee.com\agent\mcdetect.exe
c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
c:\programme\t-online\t-online_software_5\browser\dlman.exe
C:\Dokumente und Einstellungen\Elde\Desktop\alt d2 patch\highjack\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.euro.dell.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.euro.dell.com/
R3 - URLSearchHook: (no name) - {8DDCD412-5102-581F-808F-53EB025CC409} - ERTYDF.dll (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\ngwhk.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\system32\ngwhk.dll
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_03\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
O4 - HKLM\..\Run: [CTDVDDet] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AsioReg] REGSVR32.EXE /S CTASIO.DLL
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [DVDLauncher] "C:\Programme\CyberLink\PowerDVD\DVDLauncher.exe"
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\PROGRA~1\mcafee.com\agent\mcupdate.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [UpdateManager] "C:\Programme\Gemeinsame Dateien\Sonic\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [VirusScan] c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Lexmark X1100 Series] "C:\Programme\Lexmark X1100 Series\lxbkbmgr.exe"
O4 - HKLM\..\Run: [CToolBar] SysEntry.exe
O4 - HKLM\..\Run: [vxdman] syspanel.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [CleanUp] C:\PROGRA~1\McAfee.com\Shared\mcappins.exe /v=3 /cleanup
O4 - HKLM\..\Run: [McRegWiz] c:\PROGRA~1\mcafee.com\agent\mcregwiz.exe /autorun
O4 - HKLM\..\RunOnce: [delus] C:\DOKUME~1\Elde\LOKALE~1\Temp\delus.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\MSMSGS.EXE" /background
O4 - HKCU\..\Run: [WTFCTF] media64.exe
O4 - HKCU\..\Run: [WinInitDll] ms-its.exe
O4 - HKCU\..\Run: [sysconf16] killall.exe
O4 - Global Startup: EPSON Status Monitor 3 Environment Check.lnk = C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\E_SRCV03.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{39F017E6-E3B4-4439-A04D-AFBDC17D4898}: NameServer = 85.255.115.3,85.255.112.12
O17 - HKLM\System\CCS\Services\Tcpip\..\{A66D4033-CC95-4562-8D06-0DD7CFC30DA1}: NameServer = 85.255.115.3,85.255.112.12
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\programme\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\PROGRA~1\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe



ich hab zwar keine ahnung, was das alles ist, aber fachmänner sind ja anwesend :daumenhoc

elde 31.12.2005 11:51
ich schieb das mal wieder nach oben, damit mir evtl jemand weiterhilft :confused:

FoaKL 31.12.2005 18:13
Ich hab vieleicht denselben...
steht bei dir anstele deines Desktops "Warning your....."
Also ich hab Antivir und des meldet die Datei javanq32.exe[.vir],hab schon versucht die Datei mit Antivir oder im abgesicherten Modus zu löschen...erfolglos:heulen:
Manchmal meldet Antivir auch andere Dateien als Trojaner.Immer irgendwas mit Agent.100 oder so...

Hab jetz aus versehen die Virendatei in das echte javanq32.exe geschoben....weg isses....:crazy:.....aber trotzdem springt immer n Pop-up auf,macht werbung für ne Firewall in ebay und alles was ich z.B. hier schreib verschwindet.....zum Glück gibts [strg]+C bzw.V :)

elde 01.01.2006 13:07
du scheinst was anderes zu haben...

mein pc läuft eigentlich recht gut. das ding is einfach nur nervig, und sobald ich versuche, dem auf den grund zu gehen, verursacht browser.exe oder server.wnd einen fehler, und wird geschlossen...


wenn das ding "nur da" wäre, könnt ichs ignorieren, einfach schliessen, und ruhe is. ich kann mir aber nicht vorstellen, das das ding nur "da" ist. da steckt doch irgendwas hinter? meine firewall jedenfalls schreit immer mehrfach auf, wenn ich den pc starte (ich lasse sie dann das programm sperren, obs nützt?).

verdammte technik!:headbang:

FoaKL 01.01.2006 13:21
[edit]
bitte eröffne für dein problem einen eigenen beitrag
GUA
[/edit]

elde 01.01.2006 20:19
hmmm,
keiner einen lösungsvorschlag, wie ich weiter vorgehen soll? diesen highjackdings hab ich ja nun gepostet, kann das wohl bitte jemand auswerten?

würd ungern wegen ein sonem plagegeist den ganzen pc löschen wollen...


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:18 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19