Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.10.2004, 19:27   #1
Tobal
 
Trojaner - Icon32

Trojaner



Ich verzweifle bald.

Ich hab mit antivir 6 Funde 3 mal den Trojaner Krepper 3 und 3 mal femad.java oder so, mit antivir kann ich die nich löschen das invizierte dateien in archiven weder gelöscht noch reperiert werden können auch mit CW Shredderwar ich erfolglos, ich habs auch mit den 2 progs im abgesicherten modus versucht, leider auch erfolglos. könnt ihr mir da weiterhelfen, danke im voraus.

Alt 12.10.2004, 19:34   #2
Cidre
Administrator, a.D.
 
Trojaner - Standard

Trojaner



Lösche die Archive manuell im abgesicherten Modus.

Danach
eScan AntiVirus anwenden und diese Punkte abarbeiten:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
__________________

__________________

Alt 13.10.2004, 09:12   #3
Tobal
 
Trojaner - Standard

Trojaner



Also ich hab versucht die Archive zu löschen, hab eins gelöscvht, aber iss immer noch so. :-( Ich hab auch festgestell das ich einen lsass.exe drauf hab (sasser) ich hab mit ewido security suite versucht die zu beenden, dann fährt er in 60 sec, herunter

Ich hab ma nen log erstellt, villeicht könnt ihr mir damit weiterhelfen. danke im voraus

Logfile of HijackThis v1.98.2
Scan saved at 09:09:36, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\UltraDVD\DVDMon.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Web_Rebates\WebRebates0.exe
C:\DOKUME~1\Tobias\LOKALE~1\Temp\Rar$EX00.500\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O4 - HKLM\..\Run: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [DVD43] C:\Programme\DVD Region+CSS Free\DVD43.exe /hidden
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Programme\UltraDVD\DVDMon.exe"
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...dac6d5a5648475
__________________

Geändert von Tobal (13.10.2004 um 10:01 Uhr)

Alt 13.10.2004, 10:49   #4
Shadowdance
 
Trojaner - Standard

Trojaner



HalloTobal,

Überprüfe mit dem online-scan von Kaspersky folgende Datei:

C:\Programme\UltraDVD\DVDMon.exe

Teile uns das Ergebnis der Überprüfung mit und sende diese Datei, wenn sie infiziert sein sollte an partytime-germany.ice@web.de, mit Verweis auf diesen Thread.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This - und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht kennst/brauchst:

C:\Program Files\Windows SyncroAd\SyncroAd.exe
C:\Program Files\Windows SyncroAd\WinSync.exe
C:\Programme\Web_Rebates\WebRebates1.exe
C:\Programme\Web_Rebates\WebRebates0.exe
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O4 - HKLM\..\Run: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows
SyncroAd\SyncroAd.exe
O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe"
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_f...ac6d5a56 48475

wenn Du diesen Eintrag nicht kennst/brauchst, bitte fixen.
(*) O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data
II\PRISMSVR.EXE" /APPLY

Aktiviere die Systemwiederherstellung, boote in den normalen Modus.

"Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren." ---> Lösche:

SyncroAd.exe
WinSync.exe
WebRebates1.exe
WebRebates0.exe
regscan.exe
w32usb2.exe
SyncroAd.exe
WebRebates0.exe

Überprüfe Dein System mit dem eScan: führe den eScan, online geupdatet, offline im abgesicherten Modus aus (siehe Anleitung). Beachte bitte, dass der eScan ab Version 4.5.1 die gefundene Malware nicht automatisch löscht. Die Malware muß - bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan. "Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!" [Zitat Cidre]

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden. Erstelle ein neues Logfile mit Hijack This und poste es.

SD

Alt 13.10.2004, 16:57   #5
Tobal
 
Trojaner - Standard

Trojaner



Also die datei C:\Programme\UltraDVD\DVDMon.exe ist in ordnung!

Die dateien die du mir gesagt hast, hab ich gelöscht, hat mir aber weiterhin nichts gebracht, mein pc hängt ohne ende, manchmal schaltet er sich wieder aus bevor ich übverhaupt bei win xp das willkommen fenster sehe.

Mit escan hab ich nur einen virus gefunden konnte aber nicht gelöscht werden.

Hab jetzt antivir nochmal drüberlaufen lassen, hab keinen virus oder trojaner mehr gefunden, aber wieso hängt dan mein system?
DOch noch einer: TR/Femad.Java.3

Neuer Logfile:

Logfile of HijackThis v1.98.2
Scan saved at 16:56:09, on 13.10.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\UltraDVD\DVDMon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVWIN.EXE
C:\DOKUME~1\Tobias\LOKALE~1\Temp\Rar$EX00.296\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.lycos.de/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - (no file)
O2 - BHO: (no name) - {E5A1691B-D188-4419-AD02-90002030B8EE} - (no file)
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\T-Com\Sinus 154 data II\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [UltraDVDMon] "C:\Programme\UltraDVD\DVDMon.exe"
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...dac6d5a5648475


Geändert von Tobal (13.10.2004 um 17:04 Uhr)

Alt 14.10.2004, 08:55   #6
Shadowdance
 
Trojaner - Standard

Trojaner



Hallo Tobal,

boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung und fixe mit Hijack This:

O4 - HKLM\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKLM\..\RunServices: [Windows Registry Scan] regscan.exe
O4 - HKLM\..\RunServices: [Win32 USB2.0 Driver] w32usb2.exe
O4 - HKCU\..\Run: [Win32 USB2.0 Driver] w32usb2.exe
O8 - Extra context menu item: Web Rebates -
file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} -
http://public.windupdates.com/get_f...ac6d5a56 48475

Boote in den normalen Modus, lass die Systemwiederherstellung deaktiviert und versuch diese Prozesse auf Deinem System zu finden:

SyncroAd.exe
WinSync.exe
WebRebates1.exe
WebRebates0.exe
regscan.exe
w32usb2.exe
SyncroAd.exe
WebRebates0.exe

beende diese Prozesse. Aktiviere danach die Systemwiederherstellung.

Verwendest Du die neue Version des eScan? Der eScan ab Version 4.5.1 löscht nicht automatisch. Das musst Du von Hand machen. Dazu musst Du aber die Systemwiederherstellung erst wieder deaktivieren. Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum oder in die Windows Suche übertragen -> löschen!

Welchen Virus hatte eScan denn gefunden? Kannst Du den Eintrag aus dem Logfile des eScan bitte kopieren und posten? Und gib bitte den Pfad mit an, wo die beiden Viren gefunden wurden.

Erstelle dann bitte ein neues Hijack This Logfile und poste es.

SD

Alt 14.10.2004, 15:26   #7
Tobal
 
Trojaner - Standard

Trojaner



S leute, ich möcht einen besonderen dank an Shadowdance un Cidre aussprechen, die vieren/trojaner ind jetez gelöscht, danke

Antwort

Themen zu Trojaner
abgesicherte, abgesicherten, abgesicherten modus, antivir, archive, archiven, danke, dateien, erfolglos, funde, gelöscht, heulen, krepper, löschen, modus, progs, troja, trojane, trojaner, versuch, versucht, verzweifle, weiterhelfen



Zum Thema Trojaner - Ich verzweifle bald. Ich hab mit antivir 6 Funde 3 mal den Trojaner Krepper 3 und 3 mal femad.java oder so, mit antivir kann ich die nich löschen das invizierte - Trojaner...
Archiv
Du betrachtest: Trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.