kann esepor.aa nicht beseitigen
 

abend allerseits,

ich verzweifle hier langsam an einem trojaner - "trojandownloader.win32.esepor.aa" nennt sich das ding. hat folgende datei infiziert: "C:\\windows\system32\tksrv99.exe". diese habe ich gelöscht (kopie auf diskette).
allerdings habe ich weiterhin das gleiche problem, dessen ursache der trojaner sein müsste: die startseite des internetexplorers wird immer wieder auf "http://www.msn.de/Default.asp?Ath=f" (?!) umgestellt .
den internetexplorer habe ich schon upgedatet.

hier noch meine hijackthis.log:

Logfile of HijackThis v1.98.2
Scan saved at 02:25:51, on 06.11.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\0190WA~1\w0svc.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\X-Lite\X-Lite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Jens\Desktop\pflege\hijack\HijackThis.exe
\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *new-search.net*;*x-google.net*
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [VirtualDrive-M:] subst.exe M: C:\DOKUME~1\Jens\EIGENE~1\EIGENE~2\MP3's
O4 - HKCU\..\Run: [Tweak-XP Pro] "C:\Programme\Tweak-XP Pro 3\autostart.exe"
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\X-Lite\X-Lite.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Download with GetRight - C:\Programme\Internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\Internet\GetRight\GRbrowse.htm
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe


also, falls ihr ne idee habt, wie ich das ding loswerde, immer her damit!

oder liegt das doch nicht an dem trojaner?

vielen dank,
jens

@ drWagner

Platform: Windows XP SP1 (WinNT 5.01.2600): Besuche www.windowsupdate.com.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken) wenn Du folgende Einträge nicht kennst/brauchst:

O8 - Extra context menu item: Download with GetRight - C:\Programme\Internet\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\Internet\GetRight\GRbrowse.htm

Boote in den normalen Modus.
Aktiviere die Systemwiederherstellung,

Lade das ClearProg runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.

Überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\X-Lite\X-Lite.exe

--> Ergebnis?

Dein Logfile sieht sauber aus. Aber überprüfe Deinen Rechner vorsichtshalber mit dem eScan: lade das Programm eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

SD

moin,

erst mal danke für die schnelle antwort!

das problem ist schon gelöst! hatte vergessen, die infizierte datei auch tatsächlich zu löschen (hatte lediglich ne kopie davon gezogen :headbang: ).

zu den programmen: sowohl get right als auch x-lite sind sauber (ersteres is ein downloadmanager, das zweite ein programm zum internettelofonieren).

bleiben noch drei fragen:
1.) hast du ne ahnung wozu die gelöschte datei (c:\\windows\system32\tksrv99.exe) gut ist? - sollte ich sie vielleicht lieber ersetzen?
2.) gibt es nicht einen weniger rabiaten weg den trojaner loszuwerden als einfach die infizierte datei zu löschen?
3.) was hat es mit diesem eintrag aus der logfile auf sich: O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe kann ich irgendwie nicht zuordnen...

trotzdem danke noch mal für die hilfe,
jens

Hallo drWagner,

Getright ist dafür bekannt Spyware zu enthalten: Spylist.

c:\\windows\system32\tksrv99.exe ist der Virus "TrojanDownloader.Win32.Esepor.y" - da Du diese Datei auf Diskette hast, kannst Du sie hier überprüfen: virusscan.jotti.dhs.org

nein ;-) Was willst Du mit Trojanern auf dem System? Falls Du Einblick und Verständnis in das Wesen von Trojanern suchst, sieh hier nach: Trojanische Pferde.

ProcessLibrary.com: "ctfmon.exe is a part of the Microsoft Office suite. It activiates the Alternative User Input Text Input Processor (TIP) and the Microsoft Office XP Language Bar. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems."

Die einzige sichere Methode herauszufinden, ob Dein Rechner infiziert ist, ihn mit dem eScan zu überprüfen. Der eScan, im abgesicherten Modus durchgeführt, findet auch jene Dateien, die sehr tief im System verborgen sind.

Pflichtlektüre:

- Vorbeugende Maßnahmen: www.trojaner-info.de
- www.mathematik.uni-marburg.de
- IE sicher konfigurieren: www.datenschutzzentrum.de.
- Einschränktes Benutzerkonto: www.ntsvcfg.de.
- faq.underflow.de

SD