Trojaner-Board - Trojan horse Downloader.Mediket.A

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojan horse Downloader.Mediket.A (https://www.trojaner-board.de/9289-trojan-horse-downloader-mediket-a.html)

Trojan horse Downloader.Mediket.A

hallo, habe diesen trojaner in der datei "ied.exe" sitzen. wenn ich diese anklicke
erscheint "kopieren/extrahieren" , nach auswahl des ortes und klick auf "extrahieren" meldet AVG ein Trojaner Download.Mediket.A nach dem kompletten scandurchlauf heisst es "remove by healing". aber der trojaner sitzt
in der datei irgendwie fest. im übrigen ist diese datei in ied_s7m.cab.
ich hoffe das mir jemand -bitte nicht zu "fachcomputerich" antwortet, da ich eine absolute,absolute anfängerin bin . (sonst wäre mir dieser fehler vielleicht nicht passiert!)
verzweifelte grüsse macmueffel

Leere deinen Temp- und Temp. Internet Files-Ordner.

Poste HijackThis-Log: http://filepony.de/download-hijackthis/

hallo, hat leider ein bisschen gedauert .(sagte ja das ich eine anfängerin bin)
habe jetzt das hijack.log gespeichert. was mache ich jetzt? wie kann ich es, falls du es sehen möchtest , hier einfügen.
ich muss noch hinzufügen das AVG diesen trojaner bei einem täglichen routinecheck NICHT findet, sondern erst dann eine warnmeldung kommt wenn besagte datei angeklickt wird! wie bekomme ich heraus,ob sich nicht noch mehr
"unbefugte" bei mir zutritt verschafft haben.
grüsse macmueffel

@macmueffel

poste bitte das logfile mit copy and paste hier im board

chaosman

hm, hallo chaosman
halte mich jetzt nicht für die allerletzte DAU (dümmste anzunehmende userin) ,
aber wo finde ich "copy and paste"?
macmueffel

@macmueffel

logfile markieren, dann Strg + C drücken, dann hier im board wechseln, cursor plazieren, und Strg + V drücken.

chaosman

aaaahhhhh ich flippe hier gleich aus grrr
ich habe es jetzt mindestens 10mal ausprobiert wie du gesagt hast
es funktioniert einfach nicht
macmueffel

@macmueffel
brauchst nicht flippen :D
das scanlog speichern in einen ordner deiner wahl.
dann öffnen mit notepad, dann text markieren , den rest habe ich schon gepostet.

chaosman

:heulen: es will irgendwie nicht klappen. :heulen:
mac
habe ja schon einen ordner angelegt. öffnen mit notepad (?? hätte wohl doch besser erst mal einen pc kurs gemacht. diese ganzen neuen begriffe machen mich ebenso wirr.)

Ok
Scanne mit Hjt wie auf http://filepony.de/download-hijackthis/ beschrieben
Speichere die Datei ab, merke dir aber wo (der Standardname müsste hijackthis.log sein)
gehe in den Ordner wo du die Datei gespeichert hast und öffne sie mit einem Doppelklick, sollte sie sich nicht öffnen, drücke "Windowstaste+R" gibt im erscheindenden Fenster "notepad" (ohne"") ein bestätige mit enter (Eingabetaste)
im sich nun öffnenden Programme kannst du unter Datei->öffnen deine log-Datei aufmachen, dann den Text wie von chaosman beschrieben ins Forum kopieren

zuerst habe ich mir bei klaffke.de alles genau angesehen, dann habe ich mir den hijackthis gedownloaded, habe diesem einen eigenen ordner gegeben und mir sogar den ort gemerkt :) .aber wenn ich das machen will was chaosman mir beschrieben hat klappt garnix.also mache ich wahrscheinlich was falsch.(bin also doch eine DAU)!
mac

Hast du auch mit HijackThis, wie auf der Seite beschrieben, gescannte und dann das Ergebnis, also die log Datei, gespeichert?

Hier ist es sehr genau beschrieben: http://www.trojaner-board.de/51130-a...l#Vorbereitung

Logfile of HijackThis v1.98.2
Scan saved at 17:17:39, on 07.11.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVG6\avgserv.exe
C:\WINDOWS\System32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\WINDOWS\ISW\netcol.dsl\signup\Tray.exe
C:\Programme\Yahoo!\Messenger\YPager.exe
C:\PROGRA~1\Netscape\Netscape\Netscp.exe
C:\WINDOWS\System32\svchost.exe
C:\DOKUME~1\FAMILI~1\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis1982.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.internetcologne.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.internetcologne.de
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG_CC] C:\PROGRA~1\Grisoft\AVG6\avgcc32.exe /STARTUP
O4 - HKLM\..\Run: [WinDSL MTU-Adjust] WinDSL_MTU.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\YAHOO!\MESSEN~1\YPAGER.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: Yahoo! Backgammon - http://download.games.yahoo.com/game...ts/y/at1_x.cab
O16 - DPF: Yahoo! Graffiti - http://download.games.yahoo.com/game...s/y/grt5_x.cab
O16 - DPF: Yahoo! MahJong Solitaire - http://download.games.yahoo.com/game.../y/mjst4_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/game...s/y/pyt1_x.cab
O16 - DPF: {11111111-1111-1111-1111-111111113457} - file://c:\ied_s7m.cab
O16 - DPF: {11111111-1111-1111-1111-511111113457} - file://c:\x.cab
O16 - DPF: {11111111-1111-1111-1111-511111113458} - file://c:\x.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - file://c:\x.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F9F59327-98A9-4546-8ED0-4F79ABB814C4}: NameServer = 81.173.194.68 194.8.194.60
O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34545} - C:\WINDOWS\System32\vbsys2 (file missing)

ICH HABS GESCHAAAAFFT :p

nun, ich sage bis jetzt erst mal vielen dank für die hilfe .
werde morgen hier wieder rein schauen.
ciao macmueffel