Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
trojaner ?

trojaner ?


Plagegeister aller Art und deren Bekämpfung: trojaner ?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.04.2005, 17:05   #1
TieU
 
trojaner ? - Standard

trojaner ?


hallo und guten tag zusammen

ich bitte um hilfe!

betriebssytem: WinXP SP2

bisher erfolglos benutzte antiviren-progs:
AV-Antivir
avast
PC-Cellin
spybot
Ad-Aware
Stinger
XP-Clean

folgende problematik:

avast und PC-Cellin melden LSASS Exploit

der Microsoft Baselin Securityanalyzer verweist auf das Sicherheitsbulletin MS04-011, jedoch wenn ich versuche dieses zu installieren erhalte ich die Meldung das die installierte software neuer ist als die die ich installieren möchte.
Laut Microsoft ist diese Sicherheitslücke jedoch durch das SP2 geschlossen worden.


darüberhinaus folgendes:

der IE öffnet ohne weiteres zutun eigenständig i-netseiten, zb.
wewewe.spotresults.com
wewewe.loadingwebsite.com
wewewe.adultfinder.com

Hat jemand eine Lösung für mich?

Herzlichen Dank im Voraus

TieU
Geändert von TieU (26.04.2005 um 17:37 Uhr)

Alt 26.04.2005, 17:12   #2
cronos
 
trojaner ? - Standard

trojaner ?


Mach mal die Links unkenntlich, nicht das sich da noch jemand was einfängt.

Wo werden genau welche Funde gemacht?

Erstelle nun einen Log mittels HijackThis und poste diesen hier im Forum:

www.hjt.klaffke.de
__________________

__________________
Alt 26.04.2005, 17:13   #3
Gigamail
 
trojaner ? - Standard

trojaner ?


Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

<Edit> zu langsam, Servus cronos
__________________
__________________
Alt 26.04.2005, 17:21   #4
cronos
 
trojaner ? - Standard

trojaner ?


@ gigamail

Hallihallo
__________________
Only cronos endures

Alt 26.04.2005, 18:34   #5
TieU
 
trojaner ? - Standard

trojaner ?


hier ist der log von hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 19:30:53, on 04/26/2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Microsoft SQL Server\MSSQL\Binn\sqlservr.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\SentinelSuperProServer\spnsrvnt.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Winamp\Winampa.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Trend Micro\Internet Security 12\pccguide.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Dokumente und Einstellungen\Mathias Zaum\Desktop\Hijack\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login.passport.net/uilogin.srf?id=2
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://login.passport.net/uilogin.srf?id=2
R3 - Default URLSearchHook is missing
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 12\pccguide.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: Dienst-Manager.lnk = C:\Programme\Microsoft SQL Server\80\Tools\Binn\sqlmangr.exe
O4 - Global Startup: hpoddt01.exe.lnk = ?
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: officejet 6100.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O16 - DPF: {0246ECA8-996F-11D1-BE2F-00A0C9037DFE} (TDServer Control) - http://www.truedoc.com/activex/tdserver.cab
O16 - DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} (PCPitstop Utility) - http://www.pcpitstop.com/pcpitstop/PCPitStop.CAB
O16 - DPF: {1842B0EE-B597-11D4-8997-00104BD12D94} (iCC Class) - http://www.pcpitstop.com/internet/pcpConnCheck.cab
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098286502803
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {9732FB42-C321-11D1-836F-00A0C993F125} (mhLabel Class) - http://www.pcpitstop.com/mhLbl.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\fplo0333e.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\i4jq0e15eh.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\PcCtlCom.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: SuperProServer - Unknown owner - C:\Programme\SentinelSuperProServer\spnsrvnt.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~1\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~1\tmproxy.exe


Alt 26.04.2005, 19:37   #6
Gigamail
 
trojaner ? - Standard

trojaner ?


lade Dir eScann Anleitung unbedingt befolgen (siehe unten)

--> boote in den abgesicherter Modus , deaktiviere die
Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung

folgende Einträge:

R3 - Default URLSearchHook is missing
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O16 - DPF: {49232000-16E4-426C-A231-62846947304B} - http://ipgweb.cce.hp.com/rdqemea/downloads/sysinfo.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/...all/xscan53.cab
O20 - Winlogon Notify: MediaContentIndex - C:\WINDOWS\system32\fplo0333e.dll
O20 - Winlogon Notify: ShellScrap - C:\WINDOWS\system32\i4jq0e15eh.dll

lösche von Hand folgende Dateien

C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINDOWS\system32\fplo0333e.dll
C:\WINDOWS\system32\i4jq0e15eh.dll


scanne jetzt mit eScan

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "C:\bases_x" . Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung .Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus (Haken setzen bei All Local Drives und All Scan Files).Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - das geht so:

Mittels Rechtsklick --> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten.Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)
__________________
--> trojaner ?

Alt 27.04.2005, 12:22   #7
TieU
 
trojaner ? - Standard

trojaner ?


Nach ein paar Umwegen (mwav ließ sich nicht ins Verzeichnis C:\bases_x kopieren da der zip-installer nur das Temp-Verzeichnis zuließ) hier nun der Inhalt der Datei eScan_neu.txt


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Apr 27 10:19:39 2005 => File C:\WINDOWS\system32\jbde.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 10:19:50 2005 => File C:\WINDOWS\system32\mdexcl40.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 10:19:50 2005 => File C:\WINDOWS\system32\pjParse.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 10:19:50 2005 => File C:\WINDOWS\system32\asivvaxx.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 10:19:50 2005 => File C:\WINDOWS\system32\jbde.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 10:20:38 2005 => File C:\WINDOWS\system32\cNrds.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 10:21:20 2005 => File C:\WINDOWS\system32\iuwphbk.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 10:22:07 2005 => File C:\WINDOWS\system32\Pucl2STI.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 10:22:15 2005 => File C:\WINDOWS\system32\s0pu0a79ed.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 11:25:12 2005 => File C:\WINDOWS\system\UpdInst.exe infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 11:25:31 2005 => File C:\WINDOWS\system32\cNrds.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 11:26:33 2005 => File C:\WINDOWS\system32\iuwphbk.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 11:27:36 2005 => File C:\WINDOWS\system32\Pucl2STI.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 11:27:49 2005 => File C:\WINDOWS\system32\s0pu0a79ed.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 12:35:13 2005 => File C:\WINDOWS\system\UpdInst.exe infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 12:35:33 2005 => File C:\WINDOWS\system32\cNrds.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 12:36:36 2005 => File C:\WINDOWS\system32\iuwphbk.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 12:37:39 2005 => File C:\WINDOWS\system32\Pucl2STI.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 12:37:53 2005 => File C:\WINDOWS\system32\s0pu0a79ed.dll infected by "not-a-virus:AdWare.Look2Me.ab" Virus. Action Taken: No Action Taken.
Wed Apr 27 12:39:12 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Wed Apr 27 12:39:12 2005 => Total Virus(es) Found: 19
Wed Apr 27 12:39:12 2005 => Total Errors: 215
Wed Apr 27 12:39:12 2005 => Time Elapsed: 02:19:16
Wed Apr 27 12:39:12 2005 => Total Objects Scanned: 85141
Wed Apr 27 10:01:16 2005 => Virus Database Date: 2005/04/27
Wed Apr 27 10:18:27 2005 => Virus Database Date: 2005/04/27
Wed Apr 27 12:39:12 2005 => Virus Database Date: 2005/04/27
Wed Apr 27 12:45:23 2005 => Virus Database Date: 2005/04/27
Wed Apr 27 13:07:16 2005 => Virus Database Date: 2005/04/27
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~ © Haui ;-) ~~~~~~~
~~~~~~~ Dank an Cidre ~~~~~~~


Bis hier hin schon mal herzlichen Dank!

TieU

Antwort

Themen zu trojaner ?
benutzte, bitte um hilfe, erhalte, folgendes, geschlossen, guten, installieren, installierte, lsass, lösung, melde, melden, meldung, microsoft, neuer, seite, seiten, sicherheitslücke, software, troja, trojaner, trojaner ?, versuche, weiteres, winxp, öffnet


« Problem mit XP | need help »


Zum Thema trojaner ? - hallo und guten tag zusammen ich bitte um hilfe! betriebssytem: WinXP SP2 bisher erfolglos benutzte antiviren-progs: AV-Antivir avast PC-Cellin spybot Ad-Aware Stinger XP-Clean folgende problematik: avast und PC-Cellin melden LSASS - trojaner ?...
Archiv
Du betrachtest: trojaner ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131