Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Habe Problem mit Trojan.Spambot.BX (https://www.trojaner-board.de/31050-habe-problem-trojan-spambot-bx.html)

flame.mk 01.08.2006 13:48
Habe Problem mit Trojan.Spambot.BX
 
Hallo Leute!

In meinem Temp-Ordner haben sich Dateien (75ex9.modul32.exe, 6ex9.modul32, und ein paar weitere, die so ähnlich aussehn) eingenistet. Mein Virenscanner (Bitdefender) erkennt bei manchen den Trojan.Spambot.BX. Nun habe ich die Dateien gelöscht, aber immer wenn ich den PC neustarte Sind diese Dateien wieder da!
Was kann man da machen?
Schon mal im voraus vielen DAnk für eure Hilfe

irrlicht 01.08.2006 13:53
Hallo flame.mk,
erstelle ein Hijackthis-Log und poste die ganze Meldung von deinem Virenscanner,also mit Pfad.
http://www.trojaner-board.de/showthread.php?t=17493
Irrlicht

flame.mk 01.08.2006 14:00
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 14:57:31, on 01.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender9\vsserv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Softwin\BitDefender9\bdmcon.exe
C:\Programme\Softwin\BitDefender9\bdoesrv.exe
C:\Programme\Softwin\BitDefender9\bdnagent.exe
C:\Programme\Softwin\BitDefender9\bdswitch.exe
D:\Programme\Java\jre1.5.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\Markus\Desktop\hijackthis\HijackThis.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender9\bdmcon.exe"
O4 - HKLM\..\Run: [BDOESRV] "C:\Programme\Softwin\BitDefender9\bdoesrv.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender9\bdnagent.exe"
O4 - HKLM\..\Run: [BDSwitchAgent] "C:\Programme\Softwin\BitDefender9\bdswitch.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_07\bin\jusched.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [OSSelectorReinstall] C:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_07\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsof...?1152873794047
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1152873785328
O17 - HKLM\System\CCS\Services\Tcpip\..\{DCED9582-7ADC-4156-95C5-3BC0492274B9}: NameServer = 195.50.140.178 195.50.140.114
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: BitDefender Desktop Update Service (LIVESRV) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Update Service\livesrv.exe" /service (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender9\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)
Ach ja was mir gerade noch einfällt Nach dem sarten des PCs startet eines dieser Dateien. Ich beende den Prozess dann immer mit dem TaskManager.
Der Virenscanner schlägt immer nur an wenn ich das Verzeichniss C:\Windows\Dokumente und Einstellungen\*****\Lokale Einstellungen\Temp öffne!

irrlicht 01.08.2006 14:18
Hallo flame.mk,
prüfe das :O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
bei Jotti :http://virusscan.jotti.org/de/
Poste das ganze Ergebniss.
Irrlicht

bunnygott1606 01.08.2006 15:09
TEste das hier auch mal

C:\WINDOWS\system32\RUNDLL32.EXE

;)

mfg

Sunny 01.08.2006 15:15
Zitat:
Zitat von bunnygott1606
TEste das hier auch mal

C:\WINDOWS\system32\RUNDLL32.EXE

;)

mfg
Warum sollte er dies tun?
Hier mal die Definition.
RunDLL ruft Funktionen auf, die entweder aus 16bit-DLLs (RunDLL.exe) oder 32bit-DLLs (RunDLL32.exe) exportiert werden. RunDLL unterstützt diese Funktionalität nur für solche DLLs, die diese Aufruf-Möglichkeit explizit unterstützen. :D

Gruß
Sunny

bunnygott1606 01.08.2006 15:18
Zitat:
Zitat von [Gc]Sunny
Warum sollte er dies tun?
Hier mal die Definition.
RunDLL ruft Funktionen auf, die entweder aus 16bit-DLLs (RunDLL.exe) oder 32bit-DLLs (RunDLL32.exe) exportiert werden. RunDLL unterstützt diese Funktionalität nur für solche DLLs, die diese Aufruf-Möglichkeit explizit unterstützen. :D

Gruß
Sunny

Tja hier aber auch was: Manche trojaner nutzen um ihre Server zu tarnen den "Decknamen" RUNDLL32.EXE der weder im Taskmanager noch anderswo als auffällig bezeichnet wird


mfg

Sunny 01.08.2006 15:22
Zitat:
Zitat von bunnygott1606
Tja hier aber auch was:
Hast du auch gelesen, das wenn es sich um einen Schädling handelt, dieser nicht im "System32", sondern im "System" Ordner befindet??? ;)
Ansonsten ist die Datei RUNDLL32.EXE ein ganz normaler Systemprozess!

flame.mk 01.08.2006 15:22
Hier das ergebnis:
Zitat:
Datei: smss.exe
Auslastung:
0% 100%
Status:
VIELLEICHT INFIZIERT/MALWARE
Entdeckte Packprogramme:
UPX

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
Keine Viren gefunden
F-Prot Antivirus
W32/Methodbod.gen gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
Keine Viren gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Keine Viren gefunden
Ich weiß nicht, ob das was damit zu tun hat, aber manchmal wächst meine Auslagerungsdatei an, ohne dass ich etwas speicherfressendes mache. Und Schuld daran ist immer eine svchost!
PS: Die rundll32.exe habe ich auch gescannt, wurde aber nix gefunden

flame.mk 02.08.2006 23:45
Kann jemand etwas damit anfangen!

felix1 04.08.2006 15:13
Prüfe das System mit F-Secure Blacklight und poste danach das Logfile.

Prüfe Dein System mit Ewido http://www.ewido.net/de/ Lasse alles löschen, was vorgeschlagen wird. Poste das Ergebnis.

Wenn Du damit fertig bist, erstelle ein Log-File mit HJT und poste es.

flame.mk 06.08.2006 13:44
Hab das Problem gefunden!!!
Es lag tatsächlich an der smss.exe. Plötzlich hat mein Virenscanner dort einen Trojaner gefunden den er zwar nicht kannte, aber ähnlich dem Trojan.Zlob.Gen ist. Und nun bleiben auch die Trojaner-Attacken aus.

Vielen Dank an alle die mir geholfen haben!!!


Alle Zeitangaben in WEZ +1. Es ist jetzt 06:08 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131