Trojaner-Board - Nachricht kazaa trojanisches pferd

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Nachricht kazaa trojanisches pferd (https://www.trojaner-board.de/11689-nachricht-kazaa-trojanisches-pferd.html)

Nachricht kazaa trojanisches pferd

Hallo,
Hab bei kazaa gedownloaded,
Jedesmal wenn ich im mein- Kazaa-Ordner was öffnen will erscheint eine Nachricht ´über Lizenserwerb und dann hat mir Antivir Nachricht gesendet, dass das ein Trojaner ist ...in C/dokumente...temperoraryinternet files.IE5\WFFJQCH\ESBADULTINSTALLER[1].OCX

was kann ich machen, dass da keine Nachricht mehr erschein?? wie werd ich das los??

Über Hilfe wäre ich sehr dankbar, auch wie ich diese in zukunft vermeiden kann, ohne auf das downloaden zu verzichten

PS . BIn absolut kein PC experte

@mauer30
lösche einfach die TIFs
Temporary Internet Files
Leere diese Ordner:
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temp
C:\WINDOWS\Downloaded Program Files
C:\Dokumente und Einstellungen\*Benutzername*\Lokale Einstellungen\Temporary Internet Files

kazaa ist nun mal ein malwareschleuder, das eine geht nicht ohne das andere
chaosman

Ja,
Kazaa ist eine bekannte Virenschleuder -> ich würde es nicht benutzen.
Das was Dir angezeigt wird liegt in den temporary Internet-Files, die solltest Du mit clearprog 1.4.1 final löschen ( alle Häkchen bei IE und Windows machen und auf löschen clicken), und dies nach jeder INet Sitzung.
Damit ist es aber noch nicht getan.
Bitte schick mal ein komplettes HiJackThis Logfile, damit man sieht, ob sonst noch was im Argen liegt.
cacatoa

@ chaosman
... war ich wohl zu langsam...http://www.smiley-channel.de/grafike...ahrzeug127.gif

@cacatoa

vielleicht wirst du langsam alt :aplaus: :party:

chaosman

Danke für das schnelle Antworten....

hier der Antivir -Check:

Start des Suchlaufs: Mittwoch, 5. Januar 2005 13:02

Speichertest OK
Master-Bootsektor von Festplatte HD0 OK
Bootsektor von Laufwerk C: OK

C:\
pagefile.sys
Zugriff verweigert! Fehler beim Öffnen der Datei.
Dies ist eine Auslagerungsdatei von Windows. Diese Datei ist von Windows gelockt.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery
AlexaRelated.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
AlexaRelated1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet8.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Altnet9.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommonName.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
CommonName1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Cydoor.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Cydoor1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
DSOExploit4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINDashBar.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINDashBar1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator3.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator4.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator5.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator6.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
GAINGator7.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Hackerag.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Hackerag1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
Hackerag2.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WindowsMediaPlayer.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
WindowsMediaPlayer1.zip
ArchiveType: ZIP
HINWEIS! Das gesamte Archiv ist passwortgeschützt
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp
~DFDD06.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
~DFDD11.tmp
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\1C4ZTXS5
tsi2[1].cab
ArchiveType: CAB (Microsoft)
--> tsi2.dat
HINWEIS! Der Archivheader ist defekt
tsi2[2].cab
ArchiveType: CAB (Microsoft)
--> tsi2.dat
HINWEIS! Der Archivheader ist defekt
tsi2[3].cab
ArchiveType: CAB (Microsoft)
--> tsi2.dat
HINWEIS! Der Archivheader ist defekt
tsi2[4].cab
ArchiveType: CAB (Microsoft)
--> tsi2.dat
HINWEIS! Der Archivheader ist defekt
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temporary Internet Files\Content.IE5\65R89K3Y
swflash[1].cab
ArchiveType: CAB (Microsoft)
--> swflash.inf
HINWEIS! Der Archivheader ist defekt
--> Flash.ocx
HINWEIS! Der Archivheader ist defekt
--> GetFlash.exe
HINWEIS! Der Archivheader ist defekt
C:\Programme\Macromedia\Flash MX\Players\Debug
Install Flash Player 6 OSX.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
Install Flash Player 6.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
C:\Programme\Macromedia\Flash MX\Players\Release
Install Flash Player 6 OSX.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
Install Flash Player 6.hqx
ArchiveType: BinHex (Mac)
HINWEIS! Das Archiv ist unbekannt oder defekt
Fehler beim Wechsel in das Verzeichnis System Volume Information
C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

C:\WINDOWS\system32\config
default
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SAM
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
SECURITY
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
software
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!
system
Zugriff verweigert! Fehler beim Öffnen der Datei.
Fehlercode: 0x000D
WARNUNG! Zugriffsfehler/Datei gesperrt!

Ende des Suchlaufs: Mittwoch, 5. Januar 2005 13:17
Benötigte Zeit: 14:55 min

2560 Verzeichnisse wurden durchsucht
42471 Dateien wurden geprüft
13 Warnungen wurden ausgegeben
0 Dateien wurden gelöscht
0 Viren bzw. unerwünschte Programme wurden repariert
0 Viren bzw. unerwünschte Programme wurden gefunden

Hi
benutze clearprog, wie schon gesagt.
Leere den Quarantäneordner von Spybot S&D und poste (wie schon gesagt) ein HJT-Logfile.
cacatoa

ist es das was du sehen wolltest?

Logfile of HijackThis v1.99.0
Scan saved at 13:53:14, on 05.01.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\SYSTEM32\GEARSEC.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\System32\RunDll32.exe
C:\Programme\ATI Technologies\ATI C

ontrol Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\supervisor.exe
C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\KaZaA Lite\Kazaa.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\User\Lokale Einstellungen\Temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gmx.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Siemens\Gigaset USB Adapter 54\PRISMSVR.EXE" /APPLY
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [supervisor.exe] C:\WINDOWS\supervisor.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset USB Adapter 54\GigasetUSBMonitor.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O14 - IERESET.INF: START_PAGE_URL=http://www.freenet.de
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
O23 - Service: 0190/0900 Warner Überwachungsdienst - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\SYSTEM32\GEARSEC.EXE
O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\Smc.exe

Ja, das wollte ich sehen.
Deine P2P Progs sind als "böse" markiert; warum, weißt Du ja selber.
Ansonsten solltest Du folgendes mal bei Jotti online scannen lassen:
C:\WINDOWS\supervisor.exe

Mit HJT folgendes fixen (nach dem scan bei den Punkten ein Häkchen machen und auf "Fix checked" clicken):
O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL
O3 - Toolbar: My &Search Bar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL

Dann die Datei C:\Programme\MyWay\myBar\1.bin\MYBAR.DLL manuell löschen.

Dasselbe gilt für dies:
C:\WINDOWS\System32\P2P Networking\P2P Networking.exe
C:\Programme\KaZaA Lite\Kazaa.exe
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -
fixen und Dateien löschen; vorher Kazaa deinstallieren (Ich glaube aber, das wirst du nicht machen, weil Du auf Kazaa nicht verzichten willst..)

Kennst du dies:
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

cacatoa

hab das gemacht ,
geht immer noch nicht, vielleicht solll ich kazaa noch mal neu laden?

danke für deine hilfe....

Bitte mauer30,
was genau hast du gemacht?
Und wieso Kazaa neu laden?
Was ergab der Jotti-scan?
cacatoa

hab das versucht, weiß aber nicht was da genau zu machen ist...?

bin wie gesagt kein profi, habe die befehlszeile eingegeben, dann öffnet sich fenster und dann?

help ....

Wenn du Jotti aufgerufen hast, dann auf "Durchsuchen" gehen bis du die Datei C:\WINDOWS\supervisor.exe gefunden hast, dann auf "submit"
Wenn er fertig ist, das Ergebnis (steht dann 15 cm weiter unten und umfasst 11 Zeilen) kopieren und hier rein posten.
Bitte auch die anderen Fragen beantworten.
Grüße cacatoa

Habs doch gefunden....
keine einträge....

also kazaa nicht updaten??
am besten vernichten oder?

was solls diese Lizensangaben drück icjh weg, wenns nicht geht oder probleme meld ich mich noch mal
danke...

Service load:
0% 100%
File: supervisor.exe
Status:
OK
Packers detected:
None

AntiVir
No viruses found (0.18 seconds taken)
Avast
No viruses found (1.51 seconds taken)
BitDefender
No viruses found (0.85 seconds taken)
ClamAV
No viruses found (2.42 seconds taken)
Dr.Web
No viruses found (1.93 seconds taken)
F-Prot Antivirus
No viruses found (0.06 seconds taken)
Kaspersky Anti-Virus
No viruses found (0.59 seconds taken)
mks_vir
No viruses found (0.21 seconds taken)
NOD32
No viruses found (5.12 seconds taken)
Norman Virus Control
No viruses found (1.48 seconds taken)