Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Troj_LoDMedud.a

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 01.02.2005, 13:20   #1
dedel
 
Troj_LoDMedud.a - Standard

Troj_LoDMedud.a



Moin

bisher hatte ich ja Glück gehabt, aber nun hats mich erwischt.
Mein Trend Micro findet immer den "Troj_LoDMedud.a" kann ihn aber nicht löschen. Die dazugehörige Datei ist folgende "qulmirke5.exe", diese Datei soll laut Scanner mit dem Trojaner infiziert sein und im Windows\System32 Pfad liegen dort ist sie allerdings nicht zu finden. Nach langer Suche in der Regiestrierung waren einige Einträge zu finden, festgestellt das sich das Programm als Systemdienst anmeldet. Also Dienst deaktiviert und Einträge gelöscht und das ganze geht 5 Minuten gut dann ist er wieder da. Hat jemand eine Idee wie das blöde Ding loswerde ??

Danke im vorraus
Dedel

Alt 01.02.2005, 13:36   #2
cacatoa
 
Troj_LoDMedud.a - Standard

Troj_LoDMedud.a



Hi,
sinnvoll wäre es mal ein HiJackThis-Logfile zu posten. Gibt´s hier.
cacatoa
__________________

__________________

Alt 01.02.2005, 13:54   #3
dedel
 
Troj_LoDMedud.a - Standard

Troj_LoDMedud.a



Danke ersteinmal

hätte ich auch selber drauf kommen können, aber irgendwann ist man so gefrustet also hier die Logdatei



C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\UTILITIES\Antivirus Personal Edition - AVP\AVWUPSRV.EXE
C:\WINDOWS\System32\GEARSec.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\OfficeScan NT\ntrtscan.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
C:\OfficeScan NT\tmlisten.exe
C:\UTILITIES\Drive Image 7.0\Agent\PQV2iSvc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\WinAmp\winampa.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\OfficeScan NT\pccntmon.exe
C:\utilities\quicktime 6.52\qttask.exe
C:\Programme\MSWorks 4.5\MSWORKS.EXE
C:\PROGRA~1\MICROS~3\Office10\OUTLOOK.EXE
C:\Programme\Microsoft OfficeXP\Office10\WINWORD.EXE
C:\UTILIT~1\WinZip\winzip32.exe
C:\DOKUME~1\Frank\LOKALE~1\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: Recommended Hotfix - {0421701D-CF13-4E70-ADF0-45A953E7CB8B} - C:\Programme\Recommended Hotfix - 421701D\v15\RH.DLL (file missing)
O2 - BHO: (no name) - {FC93EF98-BC26-930C-6E8C-B2FDCF493918} - C:\WINDOWS\System32\lcokncdg.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton SystemWorks\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb01.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\WinAmp\winampa.exe"
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [EPSON Stylus Photo R300 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0F2.EXE /P30 "EPSON Stylus Photo R300 Series" /O6 "USB002" /M "Stylus Photo R300"
O4 - HKLM\..\Run: [IO-Monitor] "C:\OfficeScan NT\pccntmon.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\utilities\quicktime 6.52\qttask.exe" -atboottime
O4 - Startup: Virenupdate.pif = ?
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft OfficeXP\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/248cf1f5...dxIE601_de.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{FFF7CB9A-535B-4953-824B-CE6E77C6985A}: NameServer = 134.102.149.1,195.90.8.2
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\UTILITIES\Antivirus Personal Edition - AVP\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\UTILITIES\Antivirus Personal Edition - AVP\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
O23 - Service: OfficeScan RealTime Scan - Trend Micro Inc. - C:\OfficeScan NT\ntrtscan.exe
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\SPEEDD~1\nopdb.exe
O23 - Service: OfficeScan Listener - Unknown - C:\OfficeScan NT\tmlisten.exe
O23 - Service: V2i Protector - PowerQuest Corporation - C:\UTILITIES\Drive Image 7.0\Agent\PQV2iSvc.exe
__________________

Alt 01.02.2005, 13:56   #4
cacatoa
 
Troj_LoDMedud.a - Standard

Troj_LoDMedud.a



Lasse mal die DAtei:
C:\WINDOWS\System32\lcokncdg.dll
bei Jotti online scannen und poste ds 10-zeilige Ergebnis rein. Außerdem auch noch die 4 Kopfzeilen des Logfiles.
cacatoa
__________________
Der Mensch sollte eine Hundeseele haben

Alt 01.02.2005, 14:06   #5
dedel
 
Troj_LoDMedud.a - Standard

Troj_LoDMedud.a



Ja danke
so hier die ersten 4 Zeilen des logfiles
Wenn man Google über den Trojaner befragt scheint der zut Zt. auch nur bei Trend Micro bekannt zu sein. AntiVir zb. findet ihn überhaupt nicht.

Logfile of HijackThis v1.99.0
Scan saved at 14:50:26, on 01.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

und das Ergebnis

AntiVir
No viruses found (0.16 seconds taken)

Avast
No viruses found (1.51 seconds taken)

BitDefender
No viruses found (0.37 seconds taken)

ClamAV
No viruses found (1.35 seconds taken)

Dr.Web
No viruses found (1.75 seconds taken)

F-Prot Antivirus
No viruses found (0.27 seconds taken)

Kaspersky Anti-Virus
No viruses found (1.93 seconds taken)

mks_vir
No viruses found (0.63 seconds taken)

NOD32
No viruses found (1.18 seconds taken)

Norman Virus Control
No viruses found (0.54 seconds taken)


Alt 01.02.2005, 14:09   #6
cacatoa
 
Troj_LoDMedud.a - Standard

Troj_LoDMedud.a



Sind bei Dir alle Dateien sichtbar?
Mache den scan mit Trend Micro mal im abgesicherten Modus.
Und vor allem:
System updaten!!!
__________________
--> Troj_LoDMedud.a

Alt 01.02.2005, 14:15   #7
dedel
 
Troj_LoDMedud.a - Standard

Troj_LoDMedud.a



Ja alle Dateien sichtbar
und im abgesicherten Modus sagt er immer "Fehler beim verschieben der Datei"
Ich wollte eigentlich nicht so unbedingt Service Pack 2 drauf haben.
Sonst sind die Updates so ziemlich auf dem neusten Stand

Alt 01.02.2005, 16:21   #8
cacatoa
 
Troj_LoDMedud.a - Standard

Troj_LoDMedud.a



Wieso kein SP2? Gibt doch keine Probleme.
Mch mal im abgesicherten Modus bei deaktiverter Systemwiederherstellung einen eScan und poste das Ergebnis (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
eScan dauert ca. 1 Stunde.
__________________
Der Mensch sollte eine Hundeseele haben

Antwort

Themen zu Troj_LoDMedud.a
.exe, 5 minuten, anmelde, blöde, datei, deaktiviert, einträge, festgestellt, folge, folgende, gelöscht, infiziert, langer, melde, micro, minute, minuten, programm, scan, scanner, suche, system, system32, trend, trend micro, troja, trojaner, träge, windows



Zum Thema Troj_LoDMedud.a - Moin bisher hatte ich ja Glück gehabt, aber nun hats mich erwischt. Mein Trend Micro findet immer den "Troj_LoDMedud.a" kann ihn aber nicht löschen. Die dazugehörige Datei ist folgende "qulmirke5.exe", - Troj_LoDMedud.a...
Archiv
Du betrachtest: Troj_LoDMedud.a auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.