Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Backdoor.Theef.111

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 20.10.2006, 08:08   #1
Shay
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Hallo zusammen,

hab seit einiger Zeit Probs mit dem Trojaner Backdoor.Theef.111
Antivir findet diesen erst gar nicht. Spybot auch nicht. AVG Anti-Spy(Ewido) findet ihn zwar, löscht ihn aber nicht - geht nur Quarantäne. Jedoch hängt er so wohl immer noch im System?! Wie kann ich bei diesem Trojaner vorgehen?
Mit Escan im abgesicherten Modus hab ich es auch schon probiert. Der sieht den zwar auch, aber führt keine Aktion durch, da er ihn irgendwie nicht als Virus erkennt. Logs kann ich leider nicht posten, da ich von nem Fremdrechner hier bin, I-net geht zZ leider nicht mehr.

Danke schon mal.
Grüße, die Shay

Alt 20.10.2006, 12:24   #2
Shay
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Hier doch die Logs. Inet geht wieder.

Logfile of HijackThis v1.99.1
Scan saved at 13:23:13, on 20.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5450.0004)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\PestPatrol\PPControl.exe
C:\Programme\PestPatrol\PPMemCheck.exe
C:\Programme\PestPatrol\CookiePatrol.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\WINDOWS\system32\oodag.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\ICQLite\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Mia\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=54729
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Verknüpfung mit PURGE.cmd.lnk = C:\Dokumente und Einstellungen\Mia\Eigene Dateien\PURGE.cmd
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/raptisoftgameloader.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {200B3EE9-7242-4EFD-B1E4-D97EE825BA53} (VerifyGMN Class) - http://h20270.www2.hp.com/ediags/gmn/install/hpobjinstaller_gmn.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098586424015
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web11.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Programme\Intel\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
__________________


Alt 20.10.2006, 14:29   #3
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Wo wird der angebliche Schädling gefunden? Bitte den kompletten Pfad nennen. Aus dem Logfile ist nichts ersichtlich.
Zitat:
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
Bei dir sind zwei Virenscanner aktiv, entscheide dich für einen!
__________________
__________________

Alt 20.10.2006, 15:23   #4
Shay
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Hopla. Von dem wußte ich nun mal gar nichts.
C:\System Volume Information\_restore{DBE2E5F2-299C-4E8D-AB21-C1ACF7CF84A1}\RP447\A0077312.exe

Das ist der Pfad, den AVg immer gefunden hat.
Hab nun Pestpatrol mal laufen lassen, weiß aber nicht, ob der Backdoor.Theef noch da ist.

Alt 20.10.2006, 15:25   #5
Sunny
Administrator
> Competence Manager
 

Backdoor.Theef.111 - Standard

Backdoor.Theef.111



*kurz OT*

Zitat:
Zitat von cosinus
Wo wird der angebliche Schädling gefunden? Bitte den kompletten Pfad nennen.
Ach Cosinus...

Na wo wird der Schädling nur zu finden sein? Na hier natürlich...

Zitat:
MSIE: Internet Explorer v7.00 (7.00.5450.0004)


*weiter machen*

__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 20.10.2006, 15:27   #6
Sunny
Administrator
> Competence Manager
 

Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Zitat:
Zitat von Shay
Hopla. Von dem wußte ich nun mal gar nichts.
C:\System Volume Information\_restore{DBE2E5F2-299C-4E8D-AB21-C1ACF7CF84A1}\RP447\A0077312.exe

Das ist der Pfad, den AVg immer gefunden hat.
Hab nun Pestpatrol mal laufen lassen, weiß aber nicht, ob der Backdoor.Theef noch da ist.
Gehe hierbei wiefolgt vor:

Systemwiederherstellung deaktivieren, Rechner neu starten, Systemwiederherstellung (wenn gewünscht!) wieder aktivieren.

Danach sollten keine Meldungen mehr erscheinen..

Gruß
Sunny
__________________
--> Backdoor.Theef.111

Alt 20.10.2006, 17:31   #7
Shay
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Das reicht schon????
Hätte ich mir die ganze Mühe ja sparen können *sfz*

Kleine Frage am Rande:

Kann der Backdoor Trojaner auch mit meinem Prob zusammenhängen, dass Benutzerkonten, Windowssuche, msconfig etc. nicht mehr angezeigt werden? Denn das Problem besteht noch.

P.s. Der IE wird nicht benutzt, von daher ...

Alt 20.10.2006, 19:19   #8
irrlicht
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Hallo,

Zitat:
P.s. Der IE wird nicht benutzt, von daher

Aber Hauptsache ich hab ihn mal,den IE 7,oder was ?
Mit was für Argumente manche um die Ecke kommen....
Irrlicht

Alt 20.10.2006, 22:28   #9
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Zitat:
Zitat von [Gc]Sunny
*kurz OT*
Ach Cosinus...
Na wo wird der Schädling nur zu finden sein? Na hier natürlich...

*weiter machen*
Ach, man bin ich blin heute, also bei diesem äußerst üblen Schädling hilft nur noch tabula rasa..
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 21.10.2006, 06:37   #10
Shay
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Zitat:
Zitat von irrlicht
Hallo,



Aber Hauptsache ich hab ihn mal,den IE 7,oder was ?
Mit was für Argumente manche um die Ecke kommen....
Irrlicht
Quark, benutze seit längerem den Mozilla. Hatte den IE auch deinstalliert. Irgendwann kam dann ne Aufforderung bei Windows, dass ich den IE downloaden muß um irgendwas anzusehen. Dat wars schon. Wäre schön gewesen, wenn mal sachliche Antworten kommen, denn auch wenn der IE deinstalliert wäre, bleiben die Fehler.
Dachte, man bekommt hier Hilfe als Unerfahrener, aber scheinbar dient das hier nur zur Belustigung. Schade, dachte das Forum wäre Hilfe für Probleme. Cya

Alt 21.10.2006, 08:31   #11
Rene-gad
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



@Shay
Zitat:
Hatte den IE auch deinstalliert.
Wolltest du nicht verraten - wie ?
Und was bitte soll das sein?
Zitat:
MSIE: Internet Explorer v7.00 (7.00.5450.0004)
Zitat:
dachte das Forum wäre Hilfe für Probleme
PEBKAC-Problem kann in keinem Forum behoben werden.

Alt 21.10.2006, 10:11   #12
Shay
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Zitat:
Zitat von Rene-gad
@Shay

Wolltest du nicht verraten - wie ?
Und was bitte soll das sein?
- Betonung liegt auf "Hatte" - wer lesen kann ist klar im Vorteil.

Zitat:
Zitat von Rene-gad
PEBKAC-Problem kann in keinem Forum behoben werden.
das sicher nicht, aber auf Hilfe kann man in einem Forum wohl noch hoffen. Aber wie schon oben genannt...

Alt 21.10.2006, 10:20   #13
Sunny
Administrator
> Competence Manager
 

Backdoor.Theef.111 - Standard

Backdoor.Theef.111



@Shay,

1.) Um den IE7 zu installieren, dazu wird man nirgendswo aufgefordert, vor allem nich von Microsoft! (war bestimmt ein Pop-Up von irgendeiner Website )

2.) Du hast selber gesagt:

Zitat:
Hatte den IE auch deinstalliert.

Wo denn? Ich und die anderen sehen ihn immer noch:

Zitat:
MSIE: Internet Explorer v7.00 (7.00.5450.0004)
Soviel zum Thema, wer lesen kann ist klar ... usw..

3.) Du hast doch von mir einen Tip bekommen, wie du den Schädling aus dem System Volume Ordner bekommst, oder sehe ich das falsch?!
Wo liegt jetzt also dein Problem? War die Antwort von mir nicht sachlich genug? Hast du immer noch Probleme mit dem System?
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 21.10.2006, 11:06   #14
Rene-gad
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



@Shay
Zitat:
Betonung liegt auf "Hatte" - wer lesen kann ist klar im Vorteil.
Hattest oder hast oder hättest ist eingentlich Wurscht, Fakt ist: IE läßt sich nicht deinstallieren, da ein Teil vom Betriebssystem ist.

Alt 21.10.2006, 12:21   #15
Shay
 
Backdoor.Theef.111 - Standard

Backdoor.Theef.111



Wie auch immer, hatte den IE dennoch deinstalliert. Warum und weshalb da eine Aufforderung kam, dass ich den brauche um etwas anzusehen - frag mich nicht. Seit dem ist er natürlich wieder drauf, und auch die neuste Version. Hoffe das war nun verständlich genug.
Ja, deinen Tip, Sunny, habe ich gelesen und auch darauf geantwortet.

Antwort

Themen zu Backdoor.Theef.111
abgesicherte, abgesicherten, abgesicherten modus, aktion, avg, einiger, erkenn, escan, ewido, führt, hallo zusammen, hängt, i-net, lösch, löscht, modus, poste, posten, probs, quara, spybot, system, troja, trojaner, virus, vorgehen, zusammen



Ähnliche Themen: Backdoor.Theef.111


  1. System bereinigen nach Backdoor.graybird / backdoor.rustock etc.
    Plagegeister aller Art und deren Bekämpfung - 01.04.2013 (5)
  2. BDS/Backdoor.Gen' [backdoor]
    Plagegeister aller Art und deren Bekämpfung - 01.03.2013 (7)
  3. Exploit.Script.Generic, Exploit.JS.Pdfka.gfa, Backdoor.Win32.ZAccess.ypw, Backdoor.Win32.ZAccess.yqi, Trojan.Win32.Miner.dw und weitere
    Log-Analyse und Auswertung - 02.10.2012 (7)
  4. Backdoor.Bot / Backdoor.Gootkit / Malware.Trace -> HiJackThis + Malwarebytes logfile
    Log-Analyse und Auswertung - 02.07.2010 (6)
  5. Backdoor.bot
    Log-Analyse und Auswertung - 04.06.2009 (2)
  6. Backdoor.Trojan und Backdoor.Grybird
    Mülltonne - 13.10.2008 (0)
  7. Backdoor?
    Log-Analyse und Auswertung - 08.05.2008 (1)
  8. TR/BackDoor.NB
    Plagegeister aller Art und deren Bekämpfung - 26.04.2008 (4)
  9. Backdoor-DJT
    Plagegeister aller Art und deren Bekämpfung - 23.10.2007 (3)
  10. Backdoor???
    Mülltonne - 14.10.2007 (0)
  11. Backdoor.GrayBird.K (BackDoor-ARR [McAfee]
    Plagegeister aller Art und deren Bekämpfung - 29.07.2007 (1)
  12. Backdoor Win 32.VB.aup
    Plagegeister aller Art und deren Bekämpfung - 05.06.2007 (4)
  13. Backdoor
    Plagegeister aller Art und deren Bekämpfung - 09.11.2005 (2)
  14. backdoor.avc???
    Plagegeister aller Art und deren Bekämpfung - 25.08.2004 (3)
  15. Backdoor.sd.bot
    Plagegeister aller Art und deren Bekämpfung - 07.05.2004 (2)
  16. Backdoor... Was tun?
    Plagegeister aller Art und deren Bekämpfung - 18.04.2004 (1)
  17. Backdoor help thx
    Plagegeister aller Art und deren Bekämpfung - 05.08.2003 (5)

Zum Thema Backdoor.Theef.111 - Hallo zusammen, hab seit einiger Zeit Probs mit dem Trojaner Backdoor.Theef.111 Antivir findet diesen erst gar nicht. Spybot auch nicht. AVG Anti-Spy(Ewido) findet ihn zwar, löscht ihn aber nicht - - Backdoor.Theef.111...
Archiv
Du betrachtest: Backdoor.Theef.111 auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.