Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   fetzn trojanerproblem-needing help (https://www.trojaner-board.de/7833-fetzn-trojanerproblem-needing-help.html)

derliebegutevater 25.09.2004 12:11
fetzn trojanerproblem-needing help
 
hallo allerseits,
ich hab mir neulich (vor ca. 3 wochen) nen fetzen trojaner eingefangen.
ich hab keine ahnung wo der herkommt, weil ich erst seit nem monat internet hatte und nur seriöse e-mails von freunden empfangen hab. der virus heißt "TR/Small.Drop.JU.2" und wirkt sich durch wilkürliche festplattenspeicherschwankungen, arbeitsspeicherauslastung und nicht zu öffnende Ordner aus. meine virenprogramme (Antivir, Spybot, Ad-Aware) helfen auch nicht hundertprozentig. beim ersten durchlauf findet egal welches der drei programme ca. 15 viren oben genannten typs ,es waren auch schon mal 600. beim zweiten durchlauf unmittelbar danach findet er 0.wenn man jetzt aber einen tag wartet findet das programm wieder mindestens 15, ohne dass ich zwischendurch im internet gewesen wäre.

also schreibt bitte was ihr wisst, ich hab nämlich keine einzige information im internet gefunden.

Danke,

derliebegutevater

Cidre 25.09.2004 12:29
Hallo,

Erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Vorab Info zu Small:
http://www.f-secure.de/v-desk/trdlsmal.shtml

derliebegutevater 25.09.2004 12:37
sorry, aber dank den gefälschten speicherplatzwerten kann ich nichts mehr installieren (die werte bewegen sich nämlich im 1 bis 20 mb bereich).

derliebegutevater 25.09.2004 12:57
hat doch geklappt:

Logfile of HijackThis v1.98.2
Scan saved at 13:49:51, on 25.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\SYSTEM\SPOOL32.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\AVPERSONAL\AVSCHED32.EXE
C:\PROGRAMME\OLECO NETLCR PRO\OL_PRO.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\PROGRAMME\AVPERSONAL\AVWIN.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\RMVGSC~1.DLL (file missing)
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\WHELPER1.DLL
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\P72JSDL0ZZ2.EXE
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

Cidre 25.09.2004 13:16
Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp


Wechsle in den abgesicherten Modus und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\SYSTEM\RMVGSC~1.DLL (file missing)
O4 - HKCU\..\Run: [romahere2] C:\WINDOWS\SYSTEM\P72JSDL0ZZ2.EXE

Lösche diese Datei:
C:\WINDOWS\SYSTEM\P72JSDL0ZZ2.EXE

Danach
- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten

derliebegutevater 25.09.2004 17:48
ich schicke dir das log file von e scan jetz mal ohne die ganzen informationen über was er gescannt hat. is nämlich alles fehlerfrei bis auf:

Sat Sep 25 15:45:50 2004 => Scanning HKCR\dllfile\shell\open\command
Sat Sep 25 15:45:50 2004 => ERROR!!! Invalid Entry = "C:\Programme\Microsoft Office\Office\WINWORD.EXE" "%1". Removing it.


und hier noch hijackthis:

Logfile of HijackThis v1.98.2
Scan saved at 18:31:24, on 25.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAMME\GEMEINSAME DATEIEN\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\PSTORES.EXE
C:\WINDOWS\TASKMON.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\0190 WARNER\WARN0190.EXE
C:\PROGRAMME\WINZIP\WZQKPICK.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [MOSearch] C:\PROGRA~1\GEMEIN~1\SYSTEM\MOSEARCH\BIN\MOSEARCH.EXE
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\Winzip\WZQKPICK.EXE
O4 - Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

chaosman 25.09.2004 18:11
@derliebegutevater

log sieht gut aus,

ist dies dein provider?
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=

wenn nicht, dann bitte fixen


chaosman

derliebegutevater 25.09.2004 18:18
keine ahnung wie mein provider heißt.

Cidre 25.09.2004 18:31
Wie gesagt, das Log-File ist sauber.
Was macht die Auslastung, ist alles ok?

*Christian* 25.09.2004 18:32
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=


Diese Einträge sollten nicht gefixt werden, soweit nichts auffälliges dahinter steht. :dummguck:

derliebegutevater 25.09.2004 18:38
aaaaalso,

nach wie vor, der festplatte gehts sch*****.
Außerdem, im windowsordner sind ca. tausend dateien die alle so ähnlich heißen wie die datei die ich löschen musste (79jndg4h, oder so) naja. und des system läuft nach wie vor langsam.

derliebegutevater 26.09.2004 11:11
anbei antivir report von heute mittag 12:00:

C:\WINDOWS\SYSTEM
etv76599ouig28.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
boogmcedjr7uy4c.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
hdnuuo2jykj2r9.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
pmlsdv53f8z8u.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
i53duo2uh0i1vs.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
ygkkips5uxo1m.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
t1xmlylti26ft0.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
sh551bysiwzjfe0.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
mcg9x6he14p.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
by5ssbis0hf60sw.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
ctjz9z4s30u.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
54v19z85n7nx.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
r8tt06ob4ji4ozd.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
z8is2lr27xu2.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
8p9fwhldxkk.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
9b5mzixlshycs.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
mphf0tjxgfpstj.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
tl4d6o5f9yll.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
5zesgg21ddx.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
0r19sghk802.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
i1goz85bpwkp3.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
8mv7g8oud6lz.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
dwpp4bn93b443.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
fkzn9tzh81gbhb.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
jtkkt3bsidh3i.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
ltjnmxp6m1dxg.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
d105wig346w9.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
uur4smzmuk532gw.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
udeddz9sioybs16.bak
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!
C:\WINDOWS\All Users\Anwendungsdaten\Microsoft\Office Search Services\IndexingService\Projects\System\Build\Indexer\CiFiles
CiFLfffd.001
[FUND!] Ist das Trojanische Pferd TR/Drop.Small.JU.2
WURDE GELÖSCHT!


Alle Zeitangaben in WEZ +1. Es ist jetzt 20:27 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27