Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Wichtig: Neuer Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 25.04.2005, 16:07   #1
RobinvonLoxley
 
Wichtig: Neuer Trojaner - Standard

Wichtig: Neuer Trojaner



Als Hintergundbild (nicht mehr veränderbar, da entsprechende Registerkarte verschwunden) steht eine "Security Warning":
A fatal error in IE has occurred at 0028:C0011E36 in VXD VMM(01) +
00010E36. Error was caused by Trojan-Spy.HTML.Smitfraud.C

* System can not function in normal mode.
Please check your security settings.
* Scan your PC with any available antivirus / spyware remover
program to fix the problem.

Weder AdAware noch Spybot finden aber irgendetwas.

Aktivierte Windows Firewall (XP Pro + SP2) warnt auf eigener HTML-Page ständig vor Spyware (Werbeseite für AntiSpy-Software,
AntiVirus Build 1035 vom 16.3. 2005 meldet zwar regelmaessig Trojaner-Infizierte Dateien, kann diese aber nicht löschen oder in das Quarantaeneverzeichnis verschieben... Datei belassen und Zugriff verweigern ist die einzig mögliche Operation.

Logfile of HijackThis v1.99.1
Scan saved at 17:05:08, on 25.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\msole32.exe
C:\WINDOWS\popuper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\WINDOWS\system32\intmonp.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\Microsoft AntiSpyware\gcasServ.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe"
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Alt 25.04.2005, 16:20   #2
gary
 
Wichtig: Neuer Trojaner - Standard

Wichtig: Neuer Trojaner



@ RobinvonLoxley

bei dir sitzt der Wurm drin

Zitat:
C:\WINDOWS\system32\msole32.exe
Siehe hier ---> http://www.virus-buster.com/en/virus...tions/sambud.n

und das hier (Neuer Trojaner)
Zitat:
C:\WINDOWS\popuper.exe
C:\WINDOWS\system32\intmonp.exe
gehört zu dem hier ---> http://www.percomp.de/query/show_entry.php?index=1473

Wurm = Neuaufsetzen = ---> http://www.trojaner-board.de/showthread.php?t=12154
__________________


Alt 25.04.2005, 16:27   #3
Rene-gad
 
Wichtig: Neuer Trojaner - Standard

Wichtig: Neuer Trojaner



@RobinvonLoxley
Versuche mal über Systemsteureung/Software alle verdächtigen Programme zu deinstallieren. Danach poste bitte den vollständigen HJT-Log.
__________________

Alt 25.04.2005, 16:46   #4
RobinvonLoxley
 
Wichtig: Neuer Trojaner - Standard

Wichtig: Neuer Trojaner



Hallo Gary !

Vielen Dank für die schnelle Antwort, habe tatsaechlich die Datei wp.bmp im Root (C gefunden...

Keine andere Chanece als Wurm = Neuaufsetzen ?

Danke auch an Rene-gad,
habe jedoch keinerlei mir unbekannte Software gefunden
(siehe Attachments)

Bin vielleicht ja auch nur zu doof dazu, aber was meinst Du mit VOLLSTAENDIGEM HJT-Log ? Wie mache ich das denn ?
(Oh Gott, bin ich doof,,,)

Lese nebenbei auch gerade den thread von benjilein( habe den wp-Trojaner),
sorry, habe ich vorher nicht gesehen, sonst hätte ich mich dort angehängt
Miniaturansicht angehängter Grafiken
Wichtig: Neuer Trojaner-software.jpg   Wichtig: Neuer Trojaner-trojan.jpg  

Geändert von RobinvonLoxley (25.04.2005 um 16:58 Uhr)

Alt 25.04.2005, 19:27   #5
gary
 
Wichtig: Neuer Trojaner - Standard

Wichtig: Neuer Trojaner



Die Anleitung findest hier

Und das hier kannst du auch mal lesen http://oschad.de/wiki/index.php/Kompromittierung

gary


Alt 26.04.2005, 15:19   #6
RobinvonLoxley
 
Wichtig: Neuer Trojaner - Standard

Wichtig: Neuer Trojaner



Vielen Dank fuer die wirklich hilfreichen Tricks...

Habe meinen Rechner gesaeubert nach der Anleitung von unserem leicht begriffs-stutzigem "Benjilein",
hat alles prima geklappt,
aber ganz sauber ist das System offenbar immer noch nicht,
denn die PopUps (Ads) erscheinen immer noch.
Wenigstens kann ich mein Hintergrundbild jetzt wieder einstellen :-) )

Vielleicht hilt ja der aktuelle HJT:

Logfile of HijackThis v1.99.1
Scan saved at 16:03:52, on 26.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\popuper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\intmonp.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe
C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
C:\Programme\WinZip\WZQKPICK.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe /startupscan
O4 - Global Startup: SnagIt 6.lnk = C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {72BF1410-2E34-4A14-89B9-6EB5381D684C} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {72BF1410-2E34-4A14-89B9-6EB5381D684C} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: PicGrab - {E2D9EEDA-E5F7-4714-AE5A-61F49EB7636E} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Alt 26.04.2005, 16:24   #7
Gigamail
 
Wichtig: Neuer Trojaner - Standard

Wichtig: Neuer Trojaner



@ RobinvonLoxley

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und lösche folgende Dateien. Vorher Prozesse beenden

C:\WINDOWS\system32\intmonp.exe
C:\WINDOWS\popuper.exe

Datenträgerbereinigung:
Windowstaste+R --> %Temp% --> <enter>
Inhalt löschen
Windowstaste+R --> cleanmgr --> <enter>
Klick bei temp
klick bei temporary internet files
klick bei papierkorb
ok

neu booten neues HJT posten (im normalen Modus)
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 26.04.2005, 22:14   #8
RobinvonLoxley
 
Wichtig: Neuer Trojaner - Daumen hoch

Wichtig: Neuer Trojaner



Moin Gigamail !

so getan wie befohlen

Korrektur zum Hintergrundbild:
Nur die Registerkarten Bildschirmschoner & Einstellungen sind unter Eigenschaften-Anzeige zu sehen.

Hier der neue HJT:

Logfile of HijackThis v1.99.1
Scan saved at 23:10:38, on 26.04.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\AVPersonal\AVSched32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Java\jre1.5.0\bin\jucheck.exe
C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe
C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
C:\Programme\WinZip\WZQKPICK.EXE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb05.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSched32.EXE /min
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [HijackThis startup scan] C:\Dokumente und Einstellungen\All Users\Dokumente\Download\HijackThis.exe /startupscan
O4 - Global Startup: SnagIt 6.lnk = C:\Programme\TechSmith\SnagIt 6\SnagIt32.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {72BF1410-2E34-4A14-89B9-6EB5381D684C} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra 'Tools' menuitem: &PicGrab starten - {72BF1410-2E34-4A14-89B9-6EB5381D684C} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O9 - Extra button: PicGrab - {E2D9EEDA-E5F7-4714-AE5A-61F49EB7636E} - C:\Programme\PicGrab\iestarter.exe (HKCU)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Alt 27.04.2005, 09:48   #9
Gigamail
 
Wichtig: Neuer Trojaner - Standard

Wichtig: Neuer Trojaner



Also Dein Log sieht eigentlich sauber aus. Frage kennst Du folgendes Programm:
C:\Programme\PicGrab\iestarter.exe

Zitat:
Korrektur zum Hintergrundbild:
Nur die Registerkarten Bildschirmschoner & Einstellungen sind unter Eigenschaften-Anzeige zu sehen.
dann lese mal hier bei Cidre vielleicht hilft das.
__________________
Gruß Gigamail

eScan-Anleitung und Download



Alt 27.04.2005, 14:16   #10
RobinvonLoxley
 
Wichtig: Neuer Trojaner - Daumen hoch

Wichtig: Neuer Trojaner



Zitat:
Zitat von Gigamail
Frage kennst Du folgendes Programm:
C:\Programme\PicGrab\iestarter.exe
Ja, PicGrab\iestarter ist eine Routine von PicGrab zum "Abfischen" von Fotos aus internetpages, kann aus dem ie gestertet werden. aber beides (picgrab & ie) schmeiss ich jetzt runter
thx an Gigamail.

...und mit Hilfe der Registry-Bereinigungs-Scripte von Cidre sind auch alle Registerkarten wieder da !!!
thx an Cidre

Geändert von RobinvonLoxley (27.04.2005 um 16:15 Uhr)

Alt 28.04.2005, 09:43   #11
Moquai
 
Wichtig: Neuer Trojaner - Standard

Wichtig: Neuer Trojaner



hey Robin...

ich hab leider das selbe Problem was dich plagt zwecks des blauen Bildschirm.
Habe aber schon nachgesehn und finde von denn Daten nichts bei mir:::

wie hast du das wieder hinbekommen?

Antwort

Themen zu Wichtig: Neuer Trojaner
antispyware, antivir update, antivirus, download, drivers, einstellungen, error, explorer, fatal error, firefox, firewall, hijack, hijackthis, internet, internet explorer, löschen, microsoft, mozilla, mozilla firefox, opera, programme, quara, scan, security, security warning, spyware, system, trojane, trojaner, windows, windows xp



Ähnliche Themen: Wichtig: Neuer Trojaner


  1. Neuer Rechner; Neuer Virenschutz & Windows 8 Secure-Einstellungen
    Antiviren-, Firewall- und andere Schutzprogramme - 12.10.2014 (21)
  2. Neuer Pc, neuer Anfang - Notwendige Schutzprogramme
    Antiviren-, Firewall- und andere Schutzprogramme - 24.08.2013 (3)
  3. Wichtig: GVU-Trojaner/Virus
    Log-Analyse und Auswertung - 24.10.2012 (4)
  4. WICHTIG!!! Dieses Programm kann die Webseite nicht anzeigen-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 11.10.2012 (5)
  5. Trojan-Dropper.Win32.Injector.firp Befall auf C:\Users\...\DOWNLO~1\Wichtig.zip/Wichtig 10.07.2012
    Plagegeister aller Art und deren Bekämpfung - 19.07.2012 (9)
  6. Neuer Facebook Trojaner unterwegs! Wichtig!
    Plagegeister aller Art und deren Bekämpfung - 06.10.2011 (3)
  7. WICHTIG: Trojaner eingefangen...was tun?
    Plagegeister aller Art und deren Bekämpfung - 21.01.2010 (1)
  8. Bitte überprüfen - SEHR WICHTIG! (Trojaner?)
    Log-Analyse und Auswertung - 11.05.2007 (10)
  9. Hilfe habe einen Trojaner Win32:SdBot-gen44 [Trj] und muss auf eine LAN WICHTIG!!!
    Plagegeister aller Art und deren Bekämpfung - 24.10.2006 (8)
  10. Trojaner prob. WICHTIG
    Log-Analyse und Auswertung - 25.08.2006 (4)
  11. WICHTIG SYSTEM 32 Trojaner bitte um hilfe
    Log-Analyse und Auswertung - 23.03.2006 (3)
  12. WICHTIG Bitte auch mal bei mir checken...2 trojaner nerven
    Mülltonne - 10.01.2006 (1)
  13. Wichtig: An alle Trojaner Spezis
    Mülltonne - 10.07.2005 (1)
  14. Wichtig !!! Smitfraud.c Trojaner !!!!!
    Plagegeister aller Art und deren Bekämpfung - 24.06.2005 (16)
  15. wirklich wichtig-||-immer wieder trojaner..HELP ME PLZ
    Log-Analyse und Auswertung - 21.03.2005 (5)
  16. Wichtig! evtl. Trojaner !?
    Plagegeister aller Art und deren Bekämpfung - 04.12.2004 (2)
  17. Wirklich Wichtig ! IRC Wurm / trojaner / floodbot
    Plagegeister aller Art und deren Bekämpfung - 02.05.2003 (11)

Zum Thema Wichtig: Neuer Trojaner - Als Hintergundbild (nicht mehr veränderbar, da entsprechende Registerkarte verschwunden) steht eine "Security Warning": A fatal error in IE has occurred at 0028:C0011E36 in VXD VMM(01) + 00010E36. Error was caused - Wichtig: Neuer Trojaner...
Archiv
Du betrachtest: Wichtig: Neuer Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.