hi oh mna ich bin bin völlig fertig!! ich habe diesen tollen TR/Dldr.small.QD trojaner! schon zwei tage versuche ich, den mit hilfe euere HP wegzubekommen! ich habe spybot und antivir immer schon gehabt, und noch zusätzlich adware laufen lassen und diesen scan im abgesicherten modus (hab vergessen wie das proggi hies, da ich das irgentwann um3.00 uhr morgens gemacht habe) und es wurden auch noch massenhaft sachen gefunden, aber diese ding ist noch da! ich benutze eigentlich opera und hab deshalb hab ich kein plan wo der herkam! evtl. von uniscripten, die von der unihp direkt kamen, aber auch die habe ich mitlerweile gelöscht!

es läuft immer gleich ab: ich öffne ne internet verbindung, und nach 1-2 min geht opera einfach auf mit drei fenstern zur gleichen seite, und die gelcihn drei fenster gehen auch nach im IE auf! und antivir popt die trojaner warnungen auf! ich lösche die dateien säubere komplett alle temp files von bedien browsern, lasse dann antivir spybot und ad-ware durchlaufen, und suche noch manuel nach den dateinamen! aber beim nächsten neustart das selbe spiel!
deshalb schicke ich euch jetzt mal den hi jack this log ich hoffe ihr findet da was! ich verzweifele langsam!

btw: trojan check läuft auch dabei die ganze zeit ohne das es reageirt!

p.s.: wie ist das mit dem eScan, da steht ja man müsste es kaufen damit die sachen gelöscht werden, also werde am ende des scans die probleme nicht behoben? oder habe ich das falsch vertsanden?

Logfile of HijackThis v1.98.2
Scan saved at 10:31:17, on 05.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\WINDOWS\System32\IExplore32b.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\Wmplayer.exe
C:\Programme\Opera7\Opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\superior\LOKALE~1\Temp\Rar$EX00.813\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.microsoft.com/isapi/redir...r=6&ar=msnhome
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.microsoft.com/isapi/redir...ie&ar=iesearch
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.microsoft.com/isapi/redir.dll?prd={SUB_PRD}&clcid={SUB_CLSID}&pver={SUB_PVER}&ar=home
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKLM\..\Run: [Windows Media Player] Wmplayer.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunServices: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKLM\..\RunServices: [Windows Media Player] Wmplayer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKCU\..\Run: [Windows Media Player] Wmplayer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{210A0C9A-DB74-49C9-9E09-58554F3CE7D8}: NameServer = 217.237.149.225 217.237.151.97

@ superior

überprüfe mit virusscan.jotti.dhs.org:

C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDE T.EXE
C:\WINDOWS\System32\IExplore32b.exe
C:\WINDOWS\System32\Wmplayer.exe

--> Ergebnis? - bitte mitteilen!

Platform: Windows XP (WinNT 5.01.2600)/MSIE: Internet Explorer v6.00 (6.00.2600.0000)-
besuche www.windowsupdate.com. Beachte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand sein muss, um einen Schutz darstellen zu können.

Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This (Häk'chen setzen und Fix Checked klicken):

O4 - HKLM\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKLM\..\Run: [Windows Media Player] Wmplayer.exe
O4 - HKLM\..\RunServices: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKLM\..\RunServices: [Windows Media Player] Wmplayer.exe
O4 - HKCU\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKCU\..\Run: [Windows Media Player] Wmplayer.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)

wenn Du folgende Einträge nicht kennst/brauchst bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = iexplore

boote in den normalen Modus.

beende:

IExplore32b.exe
Wmplayer.exe

lösche:

C:\WINDOWS\System32\IExplore32b.exe
C:\WINDOWS\System32\Wmplayer.exe

Aktiviere die Systemwiederherstellung,

Zitat:

p.s.: wie ist das mit dem eScan, da steht ja man müsste es kaufen damit die sachen gelöscht werden, also werde am ende des scans die probleme nicht behoben? oder habe ich das falsch vertsanden?

Lade den eScan nach Anweisung runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Der eScan ab Version 4.5.1 löscht gefundene Malware nicht, das wird nach Anweisung durch uns von Hand gemacht.

Teile uns das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) Erstelle ein neues Hijack This Logfile und poste es.

SD

thx erstmal soweit!

also der online scan der drei dateien funzt nicht, dabei schmiert mein browser immer ab!

eScan werde ich später nochmal durchlaufen lassen, da ich den pc heute abend noch brauche!
aber die sachen bei hijack habe ich gefixed und die dateien gelöscht und ach windows geuppt! so sieht meine log file im moment aus:

Logfile of HijackThis v1.97.7
Scan saved at 22:40:48, on 07.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\Programme\Opera7\Opera.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\superior\LOKALE~1\Temp\Rar$EX00.125\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [Windows Media Player] Wmplayer.exe
O4 - HKLM\..\RunServices: [Windows Media Player] Wmplayer.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [IExplorer32 Java Scripting] IExplore32b.exe
O4 - HKCU\..\Run: [Windows Media Player] Wmplayer.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O17 - HKLM\System\CCS\Services\Tcpip\..\{210A0C9A-DB74-49C9-9E09-58554F3CE7D8}: NameServer = 217.237.149.225 217.237.151.97

p.s.: bis jetzt ist der trojaner nach dem fix noch nicht wieder angegangen! aber escan werde ich trottzdem nochmal machen! thx soweit und ich werde das ergebnis posten!

Sun Nov 07 23:02:10 2004 => File C:\WINDOWS\System32\msass43.exe infected by "Backdoor.Win32.Rbot.gen" Virus

C:\Dokumente und Einstellungen\superior\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OW36CSCV\pro[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus.

File C:\Dokumente und Einstellungen\superior\Lokale Einstellungen\Temporary Internet Files\Content.IE5\OW36CSCV\sbc[1].exe infected by "TrojanDownloader.Win32.Small.qd" Virus.

C:\Programme\AVPersonal\INFECTED\*.*

C:\RECYCLER\S-1-5-21-1547161642-1788223648-682003330-1003\Dc1.exe infected by "Backdoor.Win32.Rbot.gen" Virus.

C:\RECYCLER\S-1-5-21-1547161642-1788223648-682003330-1003\Dc1.exe infected by "Backdoor.Win32.Rbot.gen" Virus.

C:\RECYCLER\S-1-5-21-1547161642-1788223648-682003330-1003\Dc2.exe infected by "Backdoor.Win32.Rbot.gen" Virus.

C:\WINDOWS\Config\loudc.exe infected by "TrojanDownloader.Win32.Small.qd" Virus.

C:\WINDOWS\Config\pro.exe infected by "TrojanDownloader.Win32.Small.qd" Virus.

C:\WINDOWS\system32\msass43.exe infected by "Backdoor.Win32.Rbot.gen" Virus.

D:\zu bearbeiten\WarCraft_III_Reign_Of_Chaos.zip infected by "TrojanDropper.Win32.AphexLace.a" Virus. Action Taken: No Action Taken.

C:\WINDOWS\Config\loudc.exe infected by "TrojanDownloader.Win32.Small.qd" Virus.

C:\WINDOWS\Config\pro.exe infected by "TrojanDownloader.Win32.Small.qd"

C:\WINDOWS\system32\msass43.exe infected by "Backdoor.Win32.Rbot.gen"

sö da ich ja kein völliger compu neuling bin konnte cih mir schon einigermassen vorstellen, welche dateien ich löschen kann/muss nach eScan,

das einzige wo ichs nicht wusste war die

C:\Programme\AVPersonal\INFECTED\*.*

die hab ich erstmal gelassen!

eScan zeigt auch jetzt keine viren mehr an, mein hijack log poste cih auch nochmal:

Logfile of HijackThis v1.97.7
Scan saved at 15:14:54, on 08.11.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
C:\WINDOWS\System32\CTHELPER.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Trojancheck 6\tcguard.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\oodag.exe
C:\WINDOWS\System32\MsPMSPSv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\superior\Desktop\HijackThis.exe

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDET.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Trojancheck 6 Guard] C:\Programme\Trojancheck 6\tcguard.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000

ist da jetzt nochwas dabei? wenn nicht, kann ich ja meine systemwiederhestellung aktivieren! :aplaus:

Zitat:

Sun Nov 07 23:02:10 2004 => File C:\WINDOWS\System32\msass43.exe infected by "Backdoor.Win32.Rbot.gen" Virus

Allein der reicht schon um das zu tun. Shadowdance hat hier ein schönes Posting zu diesem Wurm erstellt.

jo ist ok! dann werde ich ihn demnächst mal neu aufsetzen!

doch im moment geht es nciht weil ich zuviel zu tun habe!

ausserdem gehre ich zum glück noch nciht zu den leuten die dem internet "vertrauen" bei mir gibts ausser ein paar foren pws nichts zu holen! da ich völlig auf online banking und einkäufe verzichte und wenn ich was bestelle per nachname ohne dort kontodaten preiszugeben!

Nur so als Anregung: Lies mal durch was der Rbot und was Malware im allgemeinen kann.
Es geht nicht nur um ein paar "unwichtige" Passwörter, dein PC könnte ebenso gut als Server zum verteilen illegalen Materials verwendet worden sein.
Bitte lesen: http://www.mathematik.uni-marburg.de...ompromise.html