Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Hab schon alles probiert (Troj.Haxdor-Fam)

Hab schon alles probiert (Troj.Haxdor-Fam)


Plagegeister aller Art und deren Bekämpfung: Hab schon alles probiert (Troj.Haxdor-Fam)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 09.11.2005, 21:37   #1
rime_one
 
Hab schon alles probiert (Troj.Haxdor-Fam) - Icon21

Hab schon alles probiert (Troj.Haxdor-Fam)


Hilfe! Hab mir nen Haxdor-Fam eingefangen und werd ihn nicht mehr los.
Sophos erkennt ihn als C:\WINNT\System32\avpe32.dll und verschiebt ihn in die Infected Datei, dort finde ich ihn dann als avpe32.000 bis avpe32.999.

In der Reg. hab ich ihn auch schon ausfindig gemacht und den Schüssel gelöscht.

Doch das bringt alles nix, ich werd ihn einfach nicht los.
Deshalb bitte ich dringend um Hilfe!!!

Danke schön im Vorraus,

rime_one

Alt 09.11.2005, 21:41   #2
cronos
 
Hab schon alles probiert (Troj.Haxdor-Fam) - Standard

Hab schon alles probiert (Troj.Haxdor-Fam)


Poste mal noch zusätzlich einen Hijackthis-Log .
Welche Haxdoor erkennt Sophos genau?
Aber das sieht mir schon jetzt nicht gut aus.
__________________

__________________
Alt 09.11.2005, 21:50   #3
rime_one
 
Hab schon alles probiert (Troj.Haxdor-Fam) - Standard

Hab schon alles probiert (Troj.Haxdor-Fam)


Also Sophos meldet: 'Troj/Haxdor-Fam' gefunden und den bereits genannten Pfad, mehr nicht.

Hab mich grad bei Sophos im Virenlexikon umgesehen, da gibt es keinen Hinweise auf einen Haxdoor, die Datei avpe32.dll anlegt. Scheint zu neu zu sein, soll ich trotzdem mit der etwas umständlichen Methode zum Entfernen von Trojanern probieren???
__________________
Geändert von rime_one (09.11.2005 um 22:05 Uhr)

Alt 10.11.2005, 12:16   #4
rime_one
 
Hab schon alles probiert (Troj.Haxdor-Fam) - Standard

Hab schon alles probiert (Troj.Haxdor-Fam)


Das hat mir HijackThis ausgespuckt (Danke für die Hilfe):

Logfile of HijackThis v1.99.1
Scan saved at 12:11:18, on 10.11.2005
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
C:\WINNT\system32\regsvc.exe
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS
C:\WINNT\Explorer.EXE
C:\Programme\ICQLite\ICQLite.exe
C:\WINNT\system32\atiptaxx.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe
C:\WINNT\system32\internat.exe
C:\Programme\Sophos SWEEP for NT\ICMON.EXE
C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
C:\Dokumente und Einstellungen\Mira\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AD94DE31-59CD-41C3-9FC0-E272A13DCC1A} - C:\WINNT\system32\gcli.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [WLAN Quick-Starter] "C:\Programme\WLAN Quick-Starter\WLAN Quick-Starter.exe" -update
O4 - HKLM\..\Run: [wlconfig] C:\Programme\WLAN Monitor\wlconfig.exe -autostart
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] E:\programme\Nero Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /startintray
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Steam] "e:\valve\steam\steam.exe" -silent
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: InterCheck Monitor.LNK = C:\Programme\Sophos SWEEP for NT\ICMON.EXE
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: Symantec Fax Starter Edition-Anschluss.lnk = C:\Programme\Microsoft Office\Office\1031\OLFSNT40.EXE
O4 - Global Startup: winupd.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1127846737773
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1127846708241
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://www.popcap.com/games/popcaploader_v6.cab
O20 - Winlogon Notify: avpe32 - avpe32.dll (file missing)
O23 - Service: AccSys WiFi Server (AccWLSvc) - AccSys GmbH - C:\Programme\Gemeinsame Dateien\AccSys\AccWLSvc.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINNT\system32\Ati2evxx.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - E:\programme\Nero Ahead\InCD\InCDsrv.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Dokumente und Einstellungen\Mira\Desktop\Anwendungen\Spyware Doctor\sdhelp.exe (file missing)
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Programme\Webroot\Spy Sweeper\WRSSSDK.exe
O23 - Service: Sophos Anti-Virus Network (SweepNet) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWNETSUP.EXE
O23 - Service: Sophos Anti-Virus (SWEEPSRV.SYS) - Sophos Plc - C:\Programme\Sophos SWEEP for NT\SWEEPSRV.SYS

Alt 10.11.2005, 12:53   #5
stupormundi
 
Hab schon alles probiert (Troj.Haxdor-Fam) - Standard

Hab schon alles probiert (Troj.Haxdor-Fam)


Das mit dem Haxdoor kann schon stimmen
Zitat:
O20 - Winlogon Notify: avpe32 - avpe32.dll
derartige Einträge erstellen diese Haxdoors schon (mit wechselnden *.dll Namen) zB
Zitat:
Software\Microsoft\Windows NT\CurrentVersion\WinLogon\Notify DllName status.dll
Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, update vor dem Scan, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas!
stupormundi

__________________
Unsichtbare Dateien suchen: Sehr gute Anleitung von Rene-gad:
WICHTIG: Alle aktiven links editieren (http-->h**p) und persönliche Informationen aus den Logfiles entfernen
Kein Support via PN - sorry!

Alt 10.11.2005, 19:32   #6
rime_one
 
Hab schon alles probiert (Troj.Haxdor-Fam) - Standard

Hab schon alles probiert (Troj.Haxdor-Fam)


So, man hat das gedauert, eScan hat in der mwav.log diese Liste an infected und tagged erstellt:

Mit in der Liste steht auch der von Sophos indentifizierte Trojaner 'Backdoor.Win32.Haxdoor.ey'

C:\WINNT\system32\Ckphpg32.dll infected by "Backdoor.Win32.Padodor.gen"
C:\WINNT\system32\windesktop.exe infected by "Net-Worm.Win32.Maslan.k" Virus!
C:\WINNT\SYSTEM32\AVPE64.SYS infected by "Backdoor.Win32.Haxdoor.ey" Virus!
System found infected with funweb Spyware/Adware ({00a6faf6-072e-44cf-8957-5838f569a31d})
System found infected with mywebsearchemailplugin Spyware/Adware ({07b18ea9-a523-4961-b6bb-170de4475cca})
Offending file found: C:\WINNT\DOWNLO~1\popcaploader.dll
Thu Nov 10 17:32:41 2005 => System found infected with downloader-ak Trojan-Downloader (popcaploader.dll)! Action taken: No Action Taken.

Thu Nov 10 17:32:42 2005 => Offending file found: C:\WINNT\system32\objsafe.tlb
Thu Nov 10 17:32:42 2005 => System found infected with roings Spyware/Adware (objsafe.tlb)! Action taken: No Action Taken.

Thu Nov 10 17:32:42 2005 => Offending file found: C:\WINNT\system32\wins32.dll
Thu Nov 10 17:32:42 2005 => System found infected with cws.loadadv.400 Browser Hijacker (wins32.dll)! Action taken: No Action Taken.

Thu Nov 10 17:32:42 2005 => Offending file found: C:\DOKUME~1\Mira\LOKALE~1\Temp\insthelp.dll
Thu Nov 10 17:32:42 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Thu Nov 10 17:32:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temp\insthelp.dll
Thu Nov 10 17:32:49 2005 => System found infected with redv Spyware/Adware (insthelp.dll)! Action taken: No Action Taken.

Thu Nov 10 17:32:49 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temp\{1068130f-17ab-11d5-9875-00105ace7734}\ebay.url
Thu Nov 10 17:32:49 2005 => System found infected with ezula Spyware/Adware (ebay.url)! Action taken: No Action Taken.

Thu Nov 10 17:32:51 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\21xmje54\formie[1].css
Thu Nov 10 17:32:51 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Thu Nov 10 17:32:53 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\8ti78xyb\ads[1].htm
Thu Nov 10 17:32:53 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:32:54 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\8ti78xyb\index[1].html
Thu Nov 10 17:32:54 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Nov 10 17:32:56 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\acel3t4s\ads[1].htm
Thu Nov 10 17:32:56 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:32:56 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\acel3t4s\ads[2].htm
Thu Nov 10 17:32:56 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:06 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\fmov3lwp\stylesheet[1].css
Thu Nov 10 17:33:06 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Thu Nov 10 17:33:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\fuvpxxbn\ads[1].htm
Thu Nov 10 17:33:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:07 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\fuvpxxbn\ads[2].htm
Thu Nov 10 17:33:07 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\klubspmz\adsend[1].js
Thu Nov 10 17:33:12 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:12 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\klubspmz\ads[1].htm
Thu Nov 10 17:33:12 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:14 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\olmnab8v\adswrapper[1].js
Thu Nov 10 17:33:14 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:17 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\vjh9959a\ads[1].htm
Thu Nov 10 17:33:17 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:17 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\vjh9959a\ads[2].htm
Thu Nov 10 17:33:17 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:18 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\vjh9959a\ticker[1].js
Thu Nov 10 17:33:18 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:23 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\yv07xuje\ads[1].htm
Thu Nov 10 17:33:23 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:23 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\yv07xuje\ads[2].htm
Thu Nov 10 17:33:23 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:23 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\temporary internet files\content.ie5\yv07xuje\index[1].html
Thu Nov 10 17:33:23 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\21xmje54\formie[1].css
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (formie[1].css)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\8ti78xyb\ads[1].htm
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\8ti78xyb\index[1].html
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\acel3t4s\ads[1].htm
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:25 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\acel3t4s\ads[2].htm
Thu Nov 10 17:33:25 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:26 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\fmov3lwp\stylesheet[1].css
Thu Nov 10 17:33:26 2005 => System found infected with whenu.savenow Spyware/Adware (stylesheet[1].css)! Action taken: No Action Taken.

Thu Nov 10 17:33:26 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\fuvpxxbn\ads[1].htm
Thu Nov 10 17:33:26 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:26 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\fuvpxxbn\ads[2].htm
Thu Nov 10 17:33:26 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:27 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\klubspmz\adsend[1].js
Thu Nov 10 17:33:27 2005 => System found infected with whenu.savenow Spyware/Adware (adsend[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:27 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\klubspmz\ads[1].htm
Thu Nov 10 17:33:27 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:27 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\olmnab8v\adswrapper[1].js
Thu Nov 10 17:33:27 2005 => System found infected with whenu.savenow Spyware/Adware (adswrapper[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\vjh9959a\ads[1].htm
Thu Nov 10 17:33:28 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\vjh9959a\ads[2].htm
Thu Nov 10 17:33:28 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:28 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\vjh9959a\ticker[1].js
Thu Nov 10 17:33:28 2005 => System found infected with whenu.savenow Spyware/Adware (ticker[1].js)! Action taken: No Action Taken.

Thu Nov 10 17:33:29 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\yv07xuje\ads[1].htm
Thu Nov 10 17:33:29 2005 => System found infected with whenu.savenow Spyware/Adware (ads[1].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:29 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\yv07xuje\ads[2].htm
Thu Nov 10 17:33:29 2005 => System found infected with whenu.savenow Spyware/Adware (ads[2].htm)! Action taken: No Action Taken.

Thu Nov 10 17:33:29 2005 => Offending file found: C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\content.ie5\yv07xuje\index[1].html
Thu Nov 10 17:33:29 2005 => System found infected with whenu.savenow Spyware/Adware (index[1].html)! Action taken: No Action Taken.

Thu Nov 10 17:33:29 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\autostart\winupd.exe
Thu Nov 10 17:33:29 2005 => System found infected with searchnew Spyware/Adware (winupd.exe)! Action taken: No Action Taken.

Thu Nov 10 17:33:31 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\programme\autostart\winupd.exe
Thu Nov 10 17:33:31 2005 => System found infected with searchnew Spyware/Adware (winupd.exe)! Action taken: No Action Taken.

Thu Nov 10 17:33:31 2005 => Offending file found: C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\winupd.exe
Thu Nov 10 17:33:31 2005 => System found infected with searchnew Spyware/Adware (winupd.exe)! Action taken: No Action Taken.

Thu Nov 10 17:33:31 2005 => Offending file found: C:\WINNT\iun6002.exe
Thu Nov 10 17:33:31 2005 => System found infected with zipitpro Spyware/Adware (C:\WINNT\iun6002.exe)! Action taken: No Action Taken.

C:\WINNT\system32\Ckphpg32.dll infected by "Backdoor.Win32.Padodor.gen"
C:\WINNT\system32\windesktop.exe infected by "Net-Worm.Win32.Maslan.k"
C:\WINNT\SYSTEM32\AVPE64.SYS infected by "Backdoor.Win32.Haxdoor.ey"

System found infected with funweb Spyware/Adware ({00a6faf6-072e-44cf-8957-5838f569a31d})! Action taken: No Action Taken.
Thu Nov 10 17:39:46 2005 => System found infected with mywebsearchemailplugin Spyware/Adware ({07b18ea9-a523-4961-b6bb-170de4475cca})! Action taken: No Action Taken.

C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\winupd.exe infected by "Backdoor.Win32.Haxdoor.ey" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\81Q7C96J\xexe[1].dat infected by "Net-Worm.Win32.Maslan.k" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temp\72068158.exe infected by "Trojan.Win32.Crypt.l" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temp\eclb.exe infected by "Backdoor.Win32.Padodor.ax" Virus! Action Taken: N

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temp\ndandsze.exe infected by "Trojan-Spy.Win32.Goldun.du" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temp\nimd.exe infected by "Trojan.Win32.Crypt.l" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\Content.IE5\8TI78XYB\prompt[1].php infected by "Trojan-Downloader.JS.IstBar.j" Virus! Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KDYFSP6J\31218[1].htm infected by "Exploit.HTML.Mht" Virus! Action Taken: No Action Taken.

C:\Programme\Sophos SWEEP for NT\INFECTED\avpe32.000 infected by "Backdoor.Win32.Haxdoor.ey" Virus! Action Taken: No Action Taken.

C:\WINNT\system32\Jjfdjg32.exe infected by "Backdoor.Win32.Padodor.ax" Virus! Action Taken: No Action Taken.

C:\WINNT\system32\waxw2k.dll infected by "Trojan-Spy.Win32.Goldun.dg"
C:\WINNT\system32\windesktop.dll infected by "Net-Worm.Win32.Maslan.k"
C:\WINNT\system32\wins32.dll infected by "Trojan-Downloader.Win32.Small.bvl"
C:\WINNT\system32\winsel.exe infected by "Net-Worm.Win32.Maslan.k"

C:\Dokumente und Einstellungen\Mira\Desktop\backups\backup-20051020-190550-187.dll tagged as "not-a-virus:AdWare.Win32.MyWebSearch.p".
Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\Mira\Desktop\backups\backup-20051020-190550-407.dll tagged as "not-a-virus:AdWare.Win32.MyWebSearch.l"

C:\Programme\Aquatica Waterworlds\AQ3Helper.exe tagged as "not-a-virus:AdWare.Win32.Gator.1008". Action Taken: No Action Taken.

C:\WINNT\Downloaded Program Files\CONFLICT.1\HDPlugin1101.dll tagged as "not-a-virus:AdWare.Win32.Gator.1101". Action Taken: No Action Taken.

C:\WINNT\Downloaded Program Files\CONFLICT.2\HDPlugin1101.dll tagged as "not-a-virus:AdWare.Win32.Gator.1101". Action Taken: No Action Taken.

C:\WINNT\Downloaded Program Files\popcaploader.dll tagged as not-a-virusownloader.Win32.PopCap.b. No Action Taken.

C:\WINNT\system32\f3PSSavr.scr tagged as "not-a-virus:AdWare.Win32.MyWebSearch". Action Taken: No Action Taken.

Alt 10.11.2005, 20:10   #7
cronos
 
Hab schon alles probiert (Troj.Haxdor-Fam) - Standard

Hab schon alles probiert (Troj.Haxdor-Fam)


Gut, nein schlecht.
Da wir nun Gewissheit haben, das du mehrere Backdoorrs auf dem System hast und daher dein System als kompromittiert bezeichnet werden kann, kann die Empfehlung nur lauten:

Setze zu deiner eigenen Sicherheit dein System neu auf und sichere es vor der ersten Internetverbindung vernünftig ab:

Hier eine Anleitung:


http://www.trojaner-board.de/showthread.php?t=12154
__________________
Only cronos endures

Alt 10.11.2005, 20:40   #8
rime_one
 
Hab schon alles probiert (Troj.Haxdor-Fam) - Standard

Hab schon alles probiert (Troj.Haxdor-Fam)


Das hab ich mir schon gedacht nachdem ich den Log gesehen haben.
Danke für die Hilfe,
ich werde euch auf jeden Fall weiterempfehlen.

Dann sag ich mal bis denne

Und nochmal Danke schön!

P.S.:Ich hoffe, daß bis denne nicht all zu bald eintrifft, im Sinne der Sicherheit meines Rechners!

Alt 08.01.2006, 23:01   #9
CaptainX
 
Hab schon alles probiert (Troj.Haxdor-Fam) - Standard

Hab schon alles probiert (Troj.Haxdor-Fam)


Hallo,

ich habe mir auch diesen Trojaner eingefangen und stehe im Moment etwas ratlos da.

Ich habe Sophos durchlaufen lassen und dabei eine docent0.dll im System32 Ordner gefunden die sich nicht löschen läßt. Die übrigen Trojaner Dateien konnte ich problemlos entfernen.

Da ich es zum ersten mal mit einem Schädlingsbefall zu tun habe, weiss ich auch nicht wie vorsichtig ich beim Transfer meiner Daten sein muss. Desshalb an der Stelle ein paar Fragen:

Kann ich einzelne Dateien wie die hijackthis-log einfach per USB Stick übertragen ohne den anderen Rechner zu infizieren?

Ich habe zwei Festplatten. Kann ich alle wichtigen Dateien von der Betriebssystemfestplatte rüberspielen und das Betriebssystem formatieren ohne das mir Daten verloren gehen?

Viele Grüße

Der Captain

Antwort

Themen zu Hab schon alles probiert (Troj.Haxdor-Fam)
.dll, datei, dringend, einfach, eingefangen, erkenn, erkennt, gefangen, gen, hilfe!, hilfe!!, infected, nicht mehr, probiert, schön, system, system32, verschiebt, win, winnt


« Trojanerproblem, bitte um Hilfe | explorer.exe als Eindringling bei Kerio Firewall »


Ähnliche Themen: Hab schon alles probiert (Troj.Haxdor-Fam)


  1. Alles probiert, komme nicht weiter, habe keine Ahnung, schwarzer Bildschirm nach Windowsupdate
    Log-Analyse und Auswertung - 20.02.2015 (22)
  2. Seiten-Ladefehler. Schon so viel probiert!
    Netzwerk und Hardware - 02.01.2015 (1)
  3. Trojaner über eigene Website - alles probiert, Problem nach wie vor
    Plagegeister aller Art und deren Bekämpfung - 06.08.2012 (28)
  4. Bundespolizei Virus - habe schon mehreres probiert - eventuell neu??
    Log-Analyse und Auswertung - 12.06.2012 (1)
  5. Security Tool geht nicht zu löschen ! Alles bekannte probiert.
    Log-Analyse und Auswertung - 30.08.2010 (23)
  6. Nichts hilft mehr. Alles schon probiert
    Plagegeister aller Art und deren Bekämpfung - 21.07.2007 (1)
  7. Schon alles versucht: Bitte um Hilfe (Logfile)
    Log-Analyse und Auswertung - 23.05.2007 (12)
  8. Alles probiert! Haxdoor & Co lassen sich nicht löschen!
    Log-Analyse und Auswertung - 23.12.2006 (1)
  9. Netpumper Popups und schon alles probiert, Hilfe !!!
    Plagegeister aller Art und deren Bekämpfung - 11.10.2006 (3)
  10. Clientman und schon wieder troj/taladra-f ich bitte euch um Auswertung
    Log-Analyse und Auswertung - 24.07.2006 (21)
  11. Dringend Hilfe!!! Hab Schon Alles Versucht!!
    Log-Analyse und Auswertung - 30.01.2006 (16)
  12. CoolWeb Search... schon alles probiert :(
    Log-Analyse und Auswertung - 19.07.2005 (1)
  13. IE zwingt mich auf Seite, WIN 98, alles schon versucht
    Plagegeister aller Art und deren Bekämpfung - 01.05.2005 (2)
  14. hab schon fast alles versucht...
    Log-Analyse und Auswertung - 03.03.2005 (3)
  15. Fliege beim Surfen raus; schon viel probiert...
    Log-Analyse und Auswertung - 11.01.2005 (4)
  16. Ich habe alles (mir mögliche) probiert!
    Log-Analyse und Auswertung - 05.01.2005 (5)
  17. search for... alles schon probiert... wer kann helfen?
    Plagegeister aller Art und deren Bekämpfung - 24.07.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Hab schon alles probiert (Troj.Haxdor-Fam) - Hilfe! Hab mir nen Haxdor-Fam eingefangen und werd ihn nicht mehr los. Sophos erkennt ihn als C:\WINNT\System32\avpe32.dll und verschiebt ihn in die Infected Datei, dort finde ich ihn dann als - Hab schon alles probiert (Troj.Haxdor-Fam)...
Archiv
Du betrachtest: Hab schon alles probiert (Troj.Haxdor-Fam) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129