|
HEUR/VB.VBS Dropper Hilfe pls Hi liebe Trojanerbekämpfer xD Ich brauch dringend eure Hilfe. Ich mir nen bösen Trojaner besorgt. Der war in einer gefakten Video Datei. Also mit microjoiner gepacktes archiv und mit einem WinAmp symbol. Bestens getarnt gewessen^^ Und zwar heißt der HEUR/VB.VBS Dropper Wenn ich immer meinen pc starte verzerrt sich der Desktop dermaßen, dass Ich fast nichts mehr am PC machen kann. Ich weiß leider nciht wie ich den Trojaner weg krieg. Ich hoffe ihr könnt mir helfen. Ich hab noch ein paar screens für euch : 1. So sieht mein Desktop aus wenn ich den PC starte. h**p://img183.imageshack.us/my.php?image=desktopmt4.jpg 2. Virustotalscan vom Trojaner h**p://img176.imageshack.us/my.php?image=virustotalscanqr4.jpg mfg sunny |
Sry das wichtigste vergessen^^ Logfile of HijackThis v1.99.1 Scan saved at 16:45:55, on 25.08.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\windows\System32\smss.exe C:\windows\system32\winlogon.exe C:\windows\system32\services.exe C:\windows\system32\lsass.exe C:\windows\system32\svchost.exe C:\windows\System32\svchost.exe C:\Programme\TGTSoft\StyleXP\StyleXPService.exe C:\WINDOWS\system32\LEXBCES.EXE C:\windows\system32\spoolsv.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\windows\system32\nvsvc32.exe C:\windows\system32\svchost.exe C:\windows\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\Programme\Microsoft IntelliType Pro\type32.exe C:\Programme\Microsoft IntelliPoint\point32.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\phonostar\ps_timer.exe C:\windows\system32\ctfmon.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\ArcorOnline\Arcor.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avscan.exe C:\Programme\Windows NT\Zubehör\WORDPAD.EXE C:\Programme\Real\RealOne Player\RealPlay.exe C:\Programme\Opera\Opera.exe C:\Programme\ICQ\ICQLite.exe C:\Programme\Download\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) R3 - URLSearchHook: (no name) - {5D60FF48-95BE-4956-B4C6-6BB168A70310} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Programme\Need2Find\bar\1.bin\ND2FNBAR.DLL O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: (no name) - {6BC7A231-D0EB-4ED5-85FF-D2A345D5CBD3} - C:\WINDOWS\system32\rpcns432.dll O2 - BHO: (no name) - {6F6D0431-D187-4F80-B683-F29E1D1A5B4D} - \ O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe" O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [tune] C:\windows\tune.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [PhonostarTimer] C:\Programme\phonostar\ps_timer.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe O4 - HKCU\..\Run: [rzkw] C:\PROGRA~1\GEMEIN~1\rzkw\rzkwm.exe O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQ\ICQLite.exe -trayboot O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: &Search - http://kp.bar.need2find.com/KP/menusearch.html?p=KP O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~4\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQ\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O15 - Trusted Zone: *.media-motor.net O15 - Trusted Zone: *.popuppers.com O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120929407640 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{326E0710-7B37-445B-BB12-C06F9D735268}: NameServer = 195.50.140.114 195.50.140.252 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - C:\Programme\RXToolBar\sfcont.dll O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\U2luYSBIYW16YWx1ZmFyZA\command.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: LEC TranslateDotNet Server - Language Engineering Corporation, LLC - C:\Programme\Power Translator\LogoMedia TranslateDotNet Server.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe |
Total verseucht! O4 - HKCU\..\Run: [rzkw] C:\PROGRA~1\GEMEIN~1\rzkw\rzkwm.exe O4 - HKCU\..\Run: [explorer] C:\WINDOWS\system32\audit.exe O4 - HKCU\..\Run: [startkey] C:\WINDOWS\system32\server.exe Ziemlich böse rate zur Neuinstallation falls es zutrifft was ich vermute aber lass mal die obigen Dateien bei Jotti oder Virustotal prüfen. poste uns bitte das Ergebniss |
hab ich mir schon gedacht. ich werd die daten wie du schon sagtest mal prüfen thx |
tja leider find ich die daten nicht auch unter windows suche irgentwie nciht da oder versteckt |
Zitat:
Anleitung zum Entfernen siehe Signatur. Gruß :daumenhoc Yopie |
thxxxxxxxxxxxxxxxxxxxx wielange ich danach gesucht habe was fürn ne erlösung |
Zitat:
Naja, ich glaube nicht, dass du dir die Anleitung schon angesehen hast. Es gibt aber keine andere sichere Möglichkeit. Gruß :daumenhoc Yopie |
windoof neu drauf :headbang: das wollte ich eigentlich vermeiden aber wenns anders nicht geht^^ das wird wieder ein langes wochenende :heulen: erstmal direkt 100gb musik, video, programme sichern :heulen: |
Daten (Musik, Videos, Texte etc.) kannst du problemlos sichern, aber alles, was ausführbar ist (exe, com, etc....) ist potentiell kompromittiert. Aber die Programme dürften ja auch alle auf CD vorliegen. Für die Zukunft empfiehlt es sich, mit ein Image der sauberen, frisch installierten und vollständig gepatchten Systempartition anzulegen. Dann ist das beim nächsten Fall nur ein Aufwand von wenigen Minuten... Gruß :daumenhoc Yopie |
werd ich machen meister xD :party: damit die party am wochenende doch nicht drunter leiden muss ;) kannste mir nur noch zum schluss ein gutes image programm empfehlen? |
True Image, ca. 45 Schleifen. Oder kostenlos: Partimage auf der Knoppix-CD. Anleitung: http://www.x-fish.org/proj_partimage00.html (nicht durchgelesen und getestet!) Gruß :daumenhoc Yopie |
thx werd mal direkt runterladen ;) mfg sunny |
Aber hoffentlich nicht mit dem verseuchten Rechner! Gruß :daumenhoc Yopie |
zum glück hab ich ja noch nen laptop xD altes 800 mhz teil :o aber das reicht erstmal ;) mfg sunny P.S warum gibt es eigentlich so viele kiddies die kein real life haben und trojaner basteln müssen? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 21:12 Uhr. |
Copyright ©2000-2025, Trojaner-Board