Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Hartnäckiger Trojaner, aber welcher und wo ?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 10.06.2006, 09:49   #1
hipp
 
Hartnäckiger Trojaner, aber welcher und wo ? - Unglücklich

Hartnäckiger Trojaner, aber welcher und wo ?



Hallo,

habe gestern mit HijackThis und anderer Software einen Trojaner bekämpft. Welcher weiß ich nicht. Nur so viel ist bekannt: ich hatte unter winnt/system32/ die Dateien d05*.*, atmclk.* und dcomcfg.exe. Die habe ich alle wegbekommen sowie 3 *.tlb Dateien.
Das Icon in der unteren Leiste (roter durchgestrichener Kreis der blinkt) und der Verweis auf eine Internetseite mit Software bezogen auf amitalware ist weg. Doch scheint der Hund noch nicht ganz tot zu sein. AVG meldet ab und zu eine neue Datei die einen Virus beinhaltet. Das Ding schreibt in die winnt/temp/ ab und zu eine Datei mit dem Namen win{Zahl}{Großbuchstabe}.tmp.exe.

Außerdem hatte ich schon einmal die Datei winuqw32.dll entfernt, doch ist diese wieder da.

Gruß Hipp

Alt 10.06.2006, 09:51   #2
nochdigger
 
Hartnäckiger Trojaner, aber welcher und wo ? - Standard

Hartnäckiger Trojaner, aber welcher und wo ?



mOIn hipp,
poste mal so ein Log
http://www.trojaner-board.de/showthread.php?t=17493
halte dich bitte an die Anleitung
MFG
__________________


Alt 10.06.2006, 10:14   #3
hipp
 
Hartnäckiger Trojaner, aber welcher und wo ? - Standard

Hartnäckiger Trojaner, aber welcher und wo ?



Hallo nochdigger,

wo soll ich den LOG-Inhalt posten ? Hier als Antwort oder in der anderen Rubrik ?

Gruß Hipp
__________________

Alt 10.06.2006, 10:17   #4
Wildone
 
Hartnäckiger Trojaner, aber welcher und wo ? - Standard

Hartnäckiger Trojaner, aber welcher und wo ?



hier.

Außerdem besorgst du dir Smitfraudfix und führst es wie unter dem Unterpunkt Reinigung beschrieben aus. Danach postest du den Inhalt der Datei C:\rapport.txt


Grüße Wildone

Alt 10.06.2006, 10:48   #5
hipp
 
Hartnäckiger Trojaner, aber welcher und wo ? - Standard

Hartnäckiger Trojaner, aber welcher und wo ?



Ich poste die Log-files hier unter der hijacker-log-rubrik.

Ich habe jetzt statt AVG das NOD32-Antivieren-Programm installiert. Der Meldet mir immer einen Trojaner. Habe bisher leider das Fenster weggedrückt. Wenn er noch einmal hochkommt, dann werde ich noch mitteilen, um was es sich handelt.

Gruß Hipp


Alt 10.06.2006, 10:55   #6
Wildone
 
Hartnäckiger Trojaner, aber welcher und wo ? - Standard

Hartnäckiger Trojaner, aber welcher und wo ?



Hallo,
ich habe dir doch gesagt du sollst das Logfile hier posten, mach das jetzt, der andere Thread wird dann in die Mülltonne wandern.
Was du außerdem machen sollst habe ich ebenfalls beschrieben, machen musst du es schon selbst.



Grüße Wildone

Alt 10.06.2006, 10:58   #7
hipp
 
Hartnäckiger Trojaner, aber welcher und wo ? - Standard

Hartnäckiger Trojaner, aber welcher und wo ?



Hallo,

NOD32 bringt folgende Meldung:

Datei: h**p://*installare.net/a*412/a*571.php?m=1&b=779&c=3

Threat:
eine Variante von win32/Dialer.OY Troianer

Es sei zwar keine Bedrohung für meinen Computer, aber ich will das Ding weg haben. Ich möchte ein Image von meinem System ziehen, aber eines mit wenn es geht mit weißer Weste.

Aber diese Meldung gefällt mir gar nicht:

BEDROHUNG entdeckt
Datei *:\win*nt\temp\winB0DA.tmp

Threat:
Eine Variante von Win32/Dialer.OY Troianer

Versuch Datei zu erstellen durch *:\Program*me\Mozialla Firefox\firefox.exe. Die Datei wurde in die Quarantäne verschoben. Sie können dieses Fenster schließen...

Und gleich darauf das:

Datei *\Dokumente und ...\***\Lokale Einstell*\Temp\srvlah[1].exe

Auch eine Variante von dem Ding da oben.

Bitte um Hilfe......

Gruß Hipp

Gruß Hipp

Geändert von hipp (10.06.2006 um 11:04 Uhr)

Alt 10.06.2006, 11:22   #8
hipp
 
Hartnäckiger Trojaner, aber welcher und wo ? - Standard

Hartnäckiger Trojaner, aber welcher und wo ?



Hallo,

poste jetzt hier mein hijackthis-logfile und das Ergebnis von smitfraudfix. Habe gestern schon beide laufen lassen und einiges raus geschmissen.

Bitte um Entschuldigung. Bin noch nue hier und dachte, da es eine eigene Rubrik dafür gibt bekäme ich auf die Nase. Naja, wie man es macht ist es verkehrt. Ich hoffe jetzt ist es ok so ? Oder hab ich noch etwas falsch gemacht ?



======================================
Logfile of HijackThis v1.99.1
Scan saved at 10:40:00, on 10.06.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\system32\CTsvcCDA.EXE
C:\Programme\Executive Software\Diskeeper\DkService.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
C:\Programme\Eset\nod32krn.exe
C:\WINNT\System32\nvsvc32.exe
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\MsPMSPSv.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4gui.exe
C:\WINNT\system32\devldr32.exe
C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Creative\ShareDLL\CtNotify.exe
C:\WINNT\system32\SerExt.exe
C:\Programme\Nero\Nero 7\InCD\InCD.exe
C:\Programme\Eset\nod32kui.exe
C:\WINNT\system32\internat.exe
D:\WEB\abyssws.exe
C:\PROGRA~1\MICROS~2\wcescomm.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
D:\WEB\abyssws.exe
C:\Programme\Creative\ShareDLL\MediaDet.Exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\PROGRA~1\MICROS~2\rapimgr.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe
C:\WINNT\system32\HPZipm12.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Eset\nod32.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINNT\explorer.exe
D:\Programme\hijackthis\HijackThis.exe

O1 - Hosts: zzz.yyy.xxx.3 HP000D9D02D148
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AS00_Netgear] C:\Programme\NETGEAR\Wireless Smart Configuration\Utility\NetgearAG.exe -hide
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [Disc Detector] C:\Programme\Creative\ShareDLL\CtNotify.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINNT\Updreg.exe
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive2k\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [SerExt] SerExt.exe /plug
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero\Nero 7\InCD\InCD.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Programme\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [AbyssWebServer] D:\WEB\abyssws.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~2\wcescomm.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: talk&surf 6.0 - Monitor.lnk = C:\Programme\Gigaset DECT\talk&surf_6_0\semon21.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~2\INetRepl.dll
O20 - Winlogon Notify: ActiveSync - C:\WINNT\SYSTEM32\WcesWlgn.dll
O20 - Winlogon Notify: winuqw32 - C:\WINNT\SYSTEM32\winuqw32.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINNT\system32\CTsvcCDA.EXE
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Programme\Executive Software\Diskeeper\DkService.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\PROGRA~1\Symantec\NORTON~1\GHOSTS~2.EXE
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero\Nero 7\InCD\InCDsrv.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Kerio\Personal Firewall 4\Personal Firewall 4\kpf4ss.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Programme\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe
O23 - Service: xControlCOM - Siemens - C:\Programme\Gigaset DECT\talk&surf_6_0\xcontrolcom.exe


=================================================

SmitFraudFix v2.56

Scan done at 10:43:27,46, Sa 10.06.2006
Run from D:\Programme\smitfraudfix
OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT
Fix ran in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\Dokumente und Einstellungen\***\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOKUME~1\THOMAS~1\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Programme


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components



»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Na da bin ich mal gespannt.....

Gruß Hipp

Alt 10.06.2006, 14:51   #9
hipp
 
Hartnäckiger Trojaner, aber welcher und wo ? - Daumen hoch

Hartnäckiger Trojaner, aber welcher und wo ?



Nachtrag:

Habe NOD32 offiziell gekauft und laufen lassen, habe meine Kerio Firewall auf Vordermann gebracht und habe Spyware-Doctor gekauft und laufen lassen.
Habe die freudige (wenn auch nicht ewig dauernde) Mitteilung, dass das Mist-Ding hin ist.
Mein System sieht sauber aus. Trotzdem würde ich mich freuen, wenn mir noch jemand eine Info bezüglich meiner LOGs gibt.

Grüße Hipp

Alt 10.06.2006, 15:04   #10
Markus1234
 
Hartnäckiger Trojaner, aber welcher und wo ? - Standard

Hartnäckiger Trojaner, aber welcher und wo ?



Du hast bz.w hattest einen Backdoor in deinem System.

Zitat:
O20 - Winlogon Notify: winuqw32 - C:\WINNT\SYSTEM32\winuqw32.dll
Diesen hier

Hier ein Auszug von Sophos, was das Ding alles kann:

Zitat:
Lädt Code aus dem Internet herunter
Hinterlässt nicht infizierte Dateien auf dem Computer
Ersteres kann durch Zweiteres leicht weitere Maleware/Backdoors auf deinen Rechner holen. Zudem könnte der Trojaner bereits Systemdateien umgeschrieben haben, wodurch eine Tür praktisch immer offen steht - Sophos lässt hier gerne einiges aus.

Du magst zwar die offensichtliche Datei entfernt haben, jedoch hat diese ihren Dienst bereits getan. Dein System ist nicht mehr vertrauenwürdig, also nicht mehr in deiner Hand.

Ich kann dir nur raten, dein System komplett platt zu machen und Windows neu zu installieren (nach formatieren).

Am Wichtigsten ist es, das SP2 noch vor dem ersten Kontakt zu mInternet zu installieren (stecker vorm formatieren raus, nach Neustart zum SP2 wieder rein).

Hier gibt es eine sehr gute Anleitung dazu.

mfg,
Markus

Antwort

Themen zu Hartnäckiger Trojaner, aber welcher und wo ?
.dll, alware, anderer, avg, bli, blinkt, dateien, entfernt, hartnäckiger, hijack, hijackthis, icon, interne, internetseite, melde, meldet, namen, neue, schei, seite, software, tot, trojaner, virus, wegbekomme, win



Ähnliche Themen: Hartnäckiger Trojaner, aber welcher und wo ?


  1. Wlan - neuer Router aber welcher?
    Netzwerk und Hardware - 31.10.2014 (24)
  2. Trojaner in Windows 7, aber welcher?
    Plagegeister aller Art und deren Bekämpfung - 24.01.2014 (32)
  3. Hartnäckiger GVU-Trojaner
    Plagegeister aller Art und deren Bekämpfung - 25.06.2013 (11)
  4. Trojaner, aber welcher?
    Log-Analyse und Auswertung - 13.12.2012 (1)
  5. Trojaner aber welcher....
    Plagegeister aller Art und deren Bekämpfung - 21.10.2012 (6)
  6. Virus eingefangen aber welcher? Einstellungen ändern sich automatisch
    Plagegeister aller Art und deren Bekämpfung - 22.12.2010 (1)
  7. Trojaner - aber welcher und wo? Laienfragen! :o(
    Plagegeister aller Art und deren Bekämpfung - 05.05.2010 (2)
  8. Hartnäckiger Trojaner
    Log-Analyse und Auswertung - 29.03.2010 (13)
  9. Virus aber ich weiß net welcher
    Log-Analyse und Auswertung - 10.08.2009 (1)
  10. hartnäckiger Trojaner
    Log-Analyse und Auswertung - 04.03.2009 (4)
  11. HILFE!!! Virus! aber welcher?
    Plagegeister aller Art und deren Bekämpfung - 11.03.2007 (10)
  12. Hartnäckiger Trojaner
    Plagegeister aller Art und deren Bekämpfung - 07.11.2006 (1)
  13. Neuer Virenscanner, aber welcher ??
    Antiviren-, Firewall- und andere Schutzprogramme - 12.09.2005 (2)
  14. Trojaner, aber welcher??
    Alles rund um Windows - 14.06.2005 (2)
  15. Plagegeist..aber welcher???
    Plagegeister aller Art und deren Bekämpfung - 20.02.2005 (9)
  16. wahrscheinlich Wurm, aber welcher?
    Plagegeister aller Art und deren Bekämpfung - 27.10.2004 (9)
  17. HILFE! Hartnäckiger hijacker, hartnäckiger Trojaner!
    Log-Analyse und Auswertung - 07.09.2004 (3)

Zum Thema Hartnäckiger Trojaner, aber welcher und wo ? - Hallo, habe gestern mit HijackThis und anderer Software einen Trojaner bekämpft. Welcher weiß ich nicht. Nur so viel ist bekannt: ich hatte unter winnt/system32/ die Dateien d05*.*, atmclk.* und dcomcfg.exe. - Hartnäckiger Trojaner, aber welcher und wo ?...
Archiv
Du betrachtest: Hartnäckiger Trojaner, aber welcher und wo ? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.