|
*.exe Dateien wollen ins Internet Hallo, seit ein paar Tagen habe ich folgendes Problem. Ich war so blöd und habe einen Link auf eine angebliche eCard in einer Mail angeklickt. Seit dem will bei jedem Systemstart eine *.exe-Datei wie z.B. "qlmligmq.exe" laut ZoneAlarm ins Internet. Ich habe dies natürlich kosequent untersagt. Desweiteren habe ich keine Startseite im IE, lediglich about:blank. Die Namen der *exe-Dateien ändern sich natürlich jedesmal. Frage: Kann ich davon ausgehen, dass ich durch konsequentes Unterbinden einer Verbindung noch keinen Trojaner installiert habe? ... und wie werde ich den Kerl los? sailor P.S.: Ich habe alles versucht: Antivir, S&D, Ad-Aware, a2, cwShredder und Hiijackthis. Mein neuer Browser ist nun der Opera :heulen: |
Du kannst davon ausgehen, dass du dir irgendeine Malware eingefangen hast. Bitte poste einmal ein HijackThis-Log. |
Hi Christian, malware? Was ist das und was macht es? Ist es schlimm? Die log-files kann ich erst morgen posten, da ich gerade auf der Arbeit (Nachtschicht) am Rechner sitze ... die Sache läßt mich einfach nicht los. Ich habe mir bereits heute das HijackThis-log angefertige und auf HijackThis.de checken lassen. Da haben sie lediglich eine "alte Geschichte" als böse identifiziert. Ich habe sie gefixt, obwohl ich sicher war, dass sie nicht "böse" sein konnte. Noch 'ne Frage: Hat die Option "Herstellen des Auslieferungszustandes" die gleiche Funktion wie Format C: ?? Danke im Voraus, Sailor |
hmm du könntest folgendes probieren evt. findet escan was. ist echt ein Hammer Tool lade dir Escan runter auf: http://www.mwti.net/antivirus/free_utilities.asp Die Datei ist mwav.exe. Wenn sie runter is erstellst du folgendes Verzeichniss: C:\bases danach entpackst du mwav.exe in dieses Verzeichniss. Wenn du das gemacht hast startest du zu erst kavupd.exe damit er die Updates runterladen kann vom net. wenn die updates runter sind. Startest du den REchner im abgesicherten Modus (offline) neu und öffnest die Datei msavscan.com Stelle dabei sicher, dass folgende Kästchen aktiviert sind: -Memory -registry and INI Files -Startup Folders -System Folders -Services -Drive -All Local Drives -Scan all Drives danach startest du mit dem Button Scan Clean. den rest macht er von alleine. |
@sailor, du kannst deinen PC hier online scannen lassen. http://www.pestscan.de/index2.html Verwende doch statt dem IE den Slim Browser, wie ich. Gruß: |
ja PestPatrol ist auch genial noch besser als Escan. ja Slimbrowser kenne ich jetzt ned aber Mozilla Firefox ist auch sehr gut! |
Der SlimBrowser ist lediglich ein Aufsatz für den IE, kein alternativer Browser. Das heisst, es gibt vielleicht mehr Funktionen und sinnvolle Veränderungen, sicherheitstechnisch ändert sich aber gar nichts. |
Zitat:
Benutze mal die Board-Suche. Wir hatten erst letzte Woche wieder eine Diskussion, weil PesPatrol unnütziges Zeug wie Textdateien, die überhaupt nicht gefährlich sind, findet. |
Moin Leute, danke, dass Ihr Euch soviele Gedanken macht ... Chris, ich habe nochmal nachgeschaut. Die *.exe-Dateien, die ins Netz wollen liegen tatsächlich (angeblich) in einem Ordner C:\WINDOWS\System32\x3yy\.........exe Trotz Suche und aktivieren der versteckten Ordner gibt es den x3yy nicht ... mmmmh. Hier wie versprochen die HijackThis-Log: Logfile of HijackThis v1.98.2 Scan saved at 16:15:17, on 04.09.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\RunDll32.exe C:\WINDOWS\Dit.exe C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe C:\WINDOWS\DitExp.exe C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Spamihilator\spamihilator.exe C:\Programme\a2\a2guard.exe C:\Programme\BHODemon 2\BHODemon.exe C:\WINDOWS\twain_32\CIS600X\WATCH.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\drivers\CDAC11BA.EXE C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Opera\opera.exe D:\Meine Downloads\Privat\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [mmtask] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONELA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Spamihilator] "C:\Programme\Spamihilator\spamihilator.exe" O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - Startup: BHODemon 2.0.lnk = C:\Programme\BHODemon 2\BHODemon.exe O4 - Startup: Registration-InstantCopy.lnk = C:\Programme\Pinnacle\Shared Files\InstantCDDVD\Pixie\RegTool.exe O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093269878000 O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 62.72.64.237 62.72.64.241 Was hälst Du von eScan? Soll ich meinem Rechner noch 'ne Malware-Software zumuten? Es läuft gerade AntiVir, BHODemon, a2 und meine Firewall im Hintergrund. Dazu habe ich (nicht in watch-Funktion) AdAware und S&D auf meinem Rechner. Wird langsam ein bißchen viel, oder? Danke im voraus, sailor ... :headbang: |
Nur diese Adware muss gefixt werden: O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe Lass doch mal eScan scannen. Eine Installation von eScan ist ja nicht nötig. |
Heureka!!! Ich hab ihn. Escan findet den Burschen in vielen Verzeichnissen und Unterverzeichnissen. Es ist in der Tat der "TrojanSpy.Win32.Small.az". Aber wenn ich richtig gelesen habe, und meine Englischkenntnisse noch ausreichen, hat eScan das Pferdchen nur "detected" und nicht "removed". Wie geht's also weiter. Der ist doch jetzt nicht weg, oder? Auf jeden Fall wollte keine *.exe-Datei ins Internet als ich den Neustart machte. Sailor P.S.: Ich habe leider vor dem Scannen nicht die Systemwiederherstellung deaktiviert. Ist das schlimm? |
Weiter gehts! Eine anderes Antiviren-Programm namens Sophos gibt an, dass mein "TrojanSpy.Win32.Small.az" auch als "Troj/Bizex-E" bekannt ist. Als Erklärung war zu lesen: Troj/Bizex-E ist ein Backdoor-Trojaner. Troj/Bizex-E kopiert sich entweder in einen Unterordner namens "X3YY" im Windows-Systemordner oder in einen Unterordner namens "Microsoft\X3YY" in dem Ordners, der in folgendem Registrierungseintrag angegeben ist: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData Dabei verwendet er einen Dateinamen aus 8 zufälligen kleinen Zeichen und einer EXE-Erweiterung. Troj/Bizex-E erstellt daraufhin den folgenden Registrierungseintrag, so dass er beim Systemstart aktiviert wird: HKCU\Software\Microsoft\Windows\CurrentVersion\Run\x3yy Troj/Bizex-E legt eine Datei namens UNIC2_32.DLL im selben Ordner wie sich selbst ab, die ebenfalls als Troj/Bizex-E erkannt wird und die überwacht, auf welche Websites der Anwender zugreift. Außerdem ermöglicht sie Verheimlichungstaktiken, die es schwierig machen, Troj/Bizex-E und seine Einstellungen zu erkennen und zu löschen. Troj/Bizex-E speichert Daten in einer Datei namens _POST.LOG im selben Ordner wie sich selbst. Troj/Bizex-E läuft als Dienstprozess im Hintergrund und sendet die gesammelten Daten in regelmäßigen Abständen via FTP an einen remoten Speicherort. Troj/Bizex-E erstellt den folgenden zeitabhängigen Registrierungseintrag: HKCU\Software\Microsoft\Windows\CurrentVersion\x3yy Troj/Bizex-E erstellt außerdem den folgenden Registrierungseintrag, abhängig davon, welche URLs gespeichert werden: HKCU\Software\Microsoft\Windows\x3yy Troj/Bizex-E kann leere Dateien mit den Namen XTEMPXXX.XXX und OP32MP.LOG im Windows-Systemordner erstellen. Troj/Bizex-E kann eine Datei mit einem zufälligen Dateinamen von einem remoten Speicherort in den Temp-Ordner herunterladen und starten. Der remote Speicherort ist in den Konfigurationsdaten des Trojaners angegeben oder wird von einem remoten Speicherort heruntergeladen. Zum jetzigen Zeitpunkt wird die heruntergeladene Datei als Troj/Bizexbot-A erkannt. Troj/Bizex-E versucht, Prozesse zu beenden, die mit folgenden Dateien im Zusammenhang stehen: ARMOR2NET.EXE SAVSCAN.EXE NPROTECT.EXE NVSVC32.EXE _AVP32.EXE _AVPCC.EXE _AVPM.EXE ACKWIN32.EXE ANTI-TROJAN.EXE APVXDWIN.EXE AUTODOWN.EXE AVCONSOL.EXE AVE32.EXE AVGCTRL.EXE AVKSERV.EXE AVNT.EXE AVP.EXE AVP32.EXE AVPCC.EXE AVPDOS32.EXE AVPM.EXE AVPTC32.EXE AVPUPD.EXE AVSCHED32.EXE AVWIN95.EXE AVWUPD32.EXE BLACKD.EXE BLACKICE.EXE CFIADMIN.EXE CFIAUDIT.EXE CFINET.EXE CFINET32.EXE CLAW95.EXE CLAW95CF.EXE CLEANER.EXE CLEANER3.EXE DVP95.EXE DVP95_0.EXE ECENGINE.EXE ESAFE.EXE ESPWATCH.EXE F-AGNT95.EXE FINDVIRU.EXE FPROT.EXE F-PROT.EXE F-PROT95.EXE FP-WIN.EXE FRW.EXE F-STOPW.EXE IAMAPP.EXE IAMSERV.EXE IBMASN.EXE IBMAVSP.EXE ICLOAD95.EXE ICLOADNT.EXE ICMON.EXE ICSUPP95.EXE ICSUPPNT.EXE IFACE.EXE IOMON98.EXE JEDI.EXE LOCKDOWN2000.EXE LOOKOUT.EXE LUALL.EXE MOOLIVE.EXE MPFTRAY.EXE N32SCANW.EXE NAVAPW32.EXE NAVLU32.EXE NAVNT.EXE NAVW32.EXE NAVWNT.EXE NISUM.EXE NMAIN.EXE NORMIST.EXE NUPGRADE.EXE NVC95.EXE OUTPOST.EXE PADMIN.EXE PAVCL.EXE PAVSCHED.EXE PAVW.EXE PCCWIN98.EXE PCFWALLICON.EXE PERSFW.EXE RAV7.EXE RAV7WIN.EXE RESCUE.EXE SAFEWEB.EXE SCAN32.EXE SCAN95.EXE SCANPM.EXE SCRSCAN.EXE SERV95.EXE SMC.EXE SPHINX.EXE SWEEP95.EXE TBSCAN.EXE TCA.EXE TDS2-98.EXE TDS2-NT.EXE VET95.EXE VETTRAY.EXE VSCAN40.EXE VSECOMR.EXE VSHWIN32.EXE VSSTAT.EXE WEBSCANX.EXE WFINDV32.EXE Troj/Bizex-E erstellt folgende Registrierungseinträge: HKCU\Software\Microsoft\Internet Explorer\Main\Start Page = "about:blank" HKLM\Software\Microsoft\Internet Explorer\Main\Start Page = "about:blank" Na, das passt ja alles. Muss ich jetzt Sophos kaufen, oder wie? Oder was? Sailor |
Hast du E-Scan denn im abgesicherten Modus laufen lassen? Das solltest du tun und dann ist auch die Systemwiederherstellung egal. http://www.trojaner-board.de/42731-escan-anleitung.html Kopiere doch mal genau heraus, was E-Scan gemacht hat, wenn es die Signatur des Trojaners kennt (und das tut es ja offensichtlich), müsste es spätestens im abgesicherten Modus auch säubern (hat es wahrscheinlich aber eh schon). |
Hi, Also um das Escan-Log zu posten wäre es zu lang, und nur die befallen Stellen rauszusuchen ist mir zu anstrengend. Aber was anderes: Wer lesen kann ist klar im Vorteil. Das steht nicht "Detected" sonder "Deleted" und das hört sich doch schon viel besser an. Um Deine Frage zu beantworten: Ja, ich habe eScan im abgesicherte Modus laufen lassen. Also ist das mit der Systemwiederherstellung ja wohl schnurzpiepegal, oder was meintest Du? Ein DANK an eScan!!! Sailor |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 08:08 Uhr. |
Copyright ©2000-2025, Trojaner-Board