Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Patron!! (https://www.trojaner-board.de/70911-patron.html)

Nikol 11.03.2009 15:43

Patron!!
 
halli hallo habe ein kleines bis mittelschweres prob

und zwar geben sich meine datenträger selbstständig frei unter dem freigabenamen PATRON 1 und 2 zusätlich startet ein prozess namens actvexdebugger der treibt meine cpu auslastung auf wolke sieben was net gut is weil in dem mom heizt sich mein prozi auf bis zu 80 grad und mei pc schaltet ab ich hoff ihr könnt mir weiterhelfen

Ghost1975 11.03.2009 16:05

Hi Nikol

da leider alle unsere Kristallkugeln unterwegs sind ;) bitte ich Dich folgendes Abzuarbeiten *KLICK*

MfG

Ghost1975

Nikol 11.03.2009 16:07

loooool ok ma schaun ob ich da durchblicke xD

Ghost1975 11.03.2009 16:35

Hi Nikol

ne Frage heißt das Teil activexdebugger ,wenn ja via Google landest du direkt in nem Beitrag hier aus dem Forum

Nachtrag:

Das mit den 80°C ist ne Sicherheitseinstellung im Bios damit deine Hardware(also der CPu) nicht durch zu hohe Temperaturen beschädigt wird.
Schau dir bitte mal deinen Kühlkörper des CPUs an (wenn der PC aus ist),evtl ist der Verstaubt.Im Betrieb kannst du mal schauen ob der Lüfter normal läuft.
Normalerweise schaffen das die Kühler die Temp unter 60° zu halten


MfG

Ghost1975

Nikol 11.03.2009 16:44

hey ja des teil heist so des mit der einstellung in bios is mir bekannt mei lüfter und kühlkörper is sauber blitzblank hab ich gestern sauber gemacht und immer wenn der debugger prozess aktiev wird steigt die tmperatur schlagartig von 20 grad auf 50 und weiter

Nikol 11.03.2009 16:48

noch dazu wenn ich auf laufwerk C gehe dürfte eig nur ein windows ordner da sein ich hab VIER :uglyhammer:

Nikol 11.03.2009 17:40

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1836
Windows 5.1.2600 Service Pack 2

11.03.2009 17:40:25
mbam-log-2009-03-11 (17-40-25).txt

Scan-Methode: Vollständiger Scan (C:\|I:\|)
Durchsuchte Objekte: 190999
Laufzeit: 1 hour(s), 18 minute(s), 51 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 1
Infizierte Verzeichnisse: 4
Infizierte Dateien: 8

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\webmediaplayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\fcn (Rogue.Residue) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\WebMediaPlayer (Rogue.Webmediaplayer) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_CLASSES_ROOT\regfile\shell\open\command\ (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
C:\Programme\WebMediaPlayer (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\updates (Adware.EGDAccess) -> Quarantined and deleted successfully.

Infizierte Dateien:
I:\CRAAGLE 1.91\Craagle.exe (Adware.Craagle) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\sqlite3.dll (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\uninst.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\WebMediaPlayer.exe (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\resources\wmp_translation_file.xml (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Programme\WebMediaPlayer\skins\classic.skn (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\Dokumente und Einstellungen\All Users\Desktop\WebMediaPlayer.lnk (Adware.EGDAccess) -> Quarantined and deleted successfully.
C:\WINDOWS.3\system32\drivers\etc\services (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

MALWARE

Nikol 11.03.2009 17:46

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:44:45, on 11.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS.3\System32\smss.exe
C:\WINDOWS.3\system32\csrss.exe
C:\WINDOWS.3\system32\winlogon.exe
C:\WINDOWS.3\system32\services.exe
C:\WINDOWS.3\system32\lsass.exe
C:\WINDOWS.3\system32\svchost.exe
C:\WINDOWS.3\system32\svchost.exe
C:\WINDOWS.3\System32\svchost.exe
C:\WINDOWS.3\system32\svchost.exe
C:\WINDOWS.3\system32\svchost.exe
C:\WINDOWS.3\system32\spoolsv.exe
C:\Programme\Stardock\Object Desktop\ThemeManager\wbload.exe
C:\WINDOWS.3\Explorer.exe
C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe
C:\WINDOWS.3\RTHDCPL.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Logitech\QuickCam\Quickcam.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\gcaug.exe
C:\WINDOWS.3\eHome\ehRecvr.exe
C:\WINDOWS.3\eHome\ehSched.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\WINDOWS.3\system32\nvsvc32.exe
C:\WINDOWS.3\system32\svchost.exe
C:\WINDOWS.3\system32\dllhost.exe
C:\WINDOWS.3\System32\alg.exe
C:\WINDOWS.3\system32\wbem\wmiapsrv.exe
C:\Programme\Windows Live\Contacts\wlcomm.exe
C:\Programme\SpeedFan\speedfan.exe
C:\WINDOWS.3\system32\dwwin.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\ICQ6.5\ICQ.exe
C:\Programme\Java\jre6\bin\java.exe
C:\WINDOWS.3\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis.exe
C:\WINDOWS.3\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.orbitdownloader.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
F2 - REG:system.ini: Shell=Explorer.exe activexdebugger32.exe
O2 - BHO: btorbit.com - {000123B4-9B42-4900-B3F7-F4B073EFC214} - C:\Programme\Orbitdownloader\orbitcth.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Grab Pro - {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - C:\Programme\Orbitdownloader\GrabPro.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [XboxStat] "C:\Programme\Microsoft Xbox 360 Accessories\XboxStat.exe" silentrun
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.3\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Programme\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent
O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "C:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [gcaug] "c:\dokumente und einstellungen\administrator\lokale einstellungen\anwendungsdaten\gcaug.exe" gcaug
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.3\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.3\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.3\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.3\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Orbit.lnk = C:\Programme\Orbitdownloader\orbitdm.exe
O8 - Extra context menu item: &Download by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/201
O8 - Extra context menu item: &Grab video by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/204
O8 - Extra context menu item: Do&wnload selected by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/203
O8 - Extra context menu item: Down&load all by Orbit - res://C:\Programme\Orbitdownloader\orbitmxt.dll/202
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/GameHost/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.3\system32\nvsvc32.exe

--
End of file - 6120 bytes

Nikol 11.03.2009 18:04

hab alles so gemacht wie es in der anleitung beschrieben war und der scheiß debugger :snyper: is immernoch da

Nikol 12.03.2009 01:08

habe antivir mal drüber laufen lassen hatte 328 funde des meiste in system 32

w32/polip.a und so zeug etz geht weder mei task manager noch mei media player was noch alles weg is weiß ich net ich hoff ma net wider mei boot.ini des hatte ich schoma:headbang::headbang::snyper:

Ghost1975 12.03.2009 11:43

Hi Nikol


poste bitte mal den kompletten Report von Avira
(Avira starten->Übersicht->Berichte->Doppelt auf den letzen Suchlauf klicken ->Report anklicken und nach dem Edditieren der Persönlichen Angaben hier Posten)

--> Meiner Meinung nach wirst du je nach Art des Befall des Systems um ne Neuinstalation nicht rumkommen.

MfG

Ghost1975

Nikol 12.03.2009 16:11

es wäre schön wenn das ginge aber da öffnet sich nix wenn ich auf report geh

habe aber damit die größten lücken wider zu sin ein update vom servicepack 2 gemacht damit des system wieder stabil läuft bis jetzt hatte ich keine probleme nur eins wenn ich neustarte oder einschalte kommt am anfang eine fehlermeldung:
activexdebugger32.exe konntee nicht geöffnet werden..... usw

Ghost1975 12.03.2009 17:16

Hi

Zitat:

es wäre schön wenn das ginge aber da öffnet sich nix wenn ich auf report geh
das sollte in etwa so aussehen
http://img527.imageshack.us/img527/742/avira.jpg
wenn du dann auf Report klickst kommt der Komplette Bericht.(sofern er nicht deaktiviert wurde)
das neuste Service Pack ist 3 !! und das sollte schon drauf sein.(plus alles was noch da ist)
Die Meldung besagt halt nur das die Datei nicht gefunden wurde(also vermutlich gelöscht wurde) aber trotzdem wohl im Autostart noch drin ist.
Starte mal den CCleaner->Extras->Autostart wenn du den activexdebugger32.exe Eintrag da findest,rechte Maustaste und löschen.


Mfg

Ghost1975

Nikol 12.03.2009 17:56

ja so schauts auch bei mir aus aber report öffnet sich net und servicepack 3 kann bei mir net install. werden da kommt ne fehlermeldung in etwa so: systemdatei (kernel) und so weiß auch net so richtig

Ghost1975 12.03.2009 18:48

Starte mal Avira gehe auf Extras->Konfiguration dann Hacken rein bei "Expertenmodus" -> Bei Scanner -> Report dort sollte zumindestens Standard ausgewählt worden sein.


hast du den Rest gemacht den ich geschrieben hatte?


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:43 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131