Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Wie werde ich den Trojaner Troj/Femad-B los ?? (https://www.trojaner-board.de/11350-trojaner-troj-femad-b-los.html)

senator66 29.12.2004 04:04
Wie werde ich den Trojaner Troj/Femad-B los ??
 
Hallo.
Ich hoffe das ich hier hilfe finde :)

Ich habe mir den Trojaner JAVA_BYTEVER.A-1 alias JAVA_FEMAD.B alias Trojan.Java.Femad eingefangen.

Wie werde ich den wieder los ohne mir teure Antivirenprogramme kaufen zu müssen ( Norton Antivirus habe ichaber der erkennt ihn nicht) und ohne eine Ausbildung als PC Spezialist zu haben ??

Also mit einer erklärung für dumme ??

cacatoa 29.12.2004 14:27
Hi, ganz einfach:
poste bitte erstmal ein HiJackThis Logfile, dann sehen wir weiter.
cacatoa

senator66 29.12.2004 16:12
OK, hier ist es.
Ich habe die ganze nacht mit allen möglichen kostenlosen Virenscanner meinen PC abgesucht, einige Sachen wurden dabei entfernt.
Ich nutze den Firefox Browser, aber der Iexplorer startet immer im hintergrund und ich habe auch immer wieder neue einträge in den Temponären dateien, obwohl ich garnicht mit dem Iexplorer surfe.

Hier aber erstmal das Logfile

Logfile of HijackThis v1.99.0
Scan saved at 16:07:11, on 29.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Outlook Express\msimn.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

senator66 29.12.2004 16:26
Hier nochmal ein Logfile das ich im abgesichertem modus gemacht habe

Logfile of HijackThis v1.99.0
Scan saved at 16:20:10, on 29.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Hijack\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O12 - Plugin for .mid: C:\Programme\Internet Explorer\PLUGINS\npqtplugin2.dll
O12 - Plugin for .wav: C:\Programme\Internet Explorer\PLUGINS\npqtplugin.dll
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Symantec Licensing Detect Internet Connection - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Firecat 29.12.2004 16:51
Also ich kann Dir da nur diese Seite empfehlen.Schritt für schritt Anleitung.

http://www.trojaner-info.de/beseitigung.shtml

cacatoa 29.12.2004 18:46
Das Logfile schaut auf den ersten Blick sauber aus.
Ich bitte dich aber, folgendes auf Deinem Rechner zu suchen:
SOUNDMAN.EXE
Ich möchte bitte wissen, wo sie sitzt; ich glaube nämlich, daß trotz der guten Auswertung Deines Logfiles eventuell was ganz böses drauf ist.
cacatoa

senator66 29.12.2004 19:42
SOUNDMAN.EXE liegt in C:Windows

Ich habe jetzt fast 2 std. meinen Pc im abgesichertem modus mit mwav.exe durchsucht, die 19 gefundenen Viren habe ich alle von hand im explorer gesucht und gelöscht.

Aber es ist immer noch so, wenn ich den pc starte ist der IExplorer sofort aktiv, sagt mir auch die Protokollanzeige von Norton Details: Eine Instanz von "C:\Programme\Internet Explorer\IEXPLORE.EXE" ist im Begriff, auf das Internet zuzugreifen

Und das zeigt er mir auch : Details: Eine Instanz von "C:\WINDOWS\System32\svchost.exe" ist im Begriff, auf das Internet zuzugreifen


Ich krieg hier echt die kriese :)

cacatoa 29.12.2004 19:58
Ich muß noch was zu Soundman wissen:
Ist das Teil von dir Absicht?? (Grund: ich kenne es nur als was böses.)
Hast du den IE so konfiguriert, daß er gleich im Startmenü ist und versucht verbindung herzustellen? (Bin allerdings kein IE-Spezialist, da ich opera und firefox nutze)
cacatoa

Edit: Welche Dinge hat eScan gefunden? (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)

senator66 29.12.2004 20:03
Kann ich Dir gar nicht sagen mit dem Soundman ???

Ich nutze auch den Firefox und habe ihn auch als standartbrowser gesetzt.
Wenn ich Strg + Alt + Entf drücke und dann unter Prozesse den iexplore.exe "kille", ist er nach 2-3 sec. wieder da, bei meinem bekannten ist der gar nicht erst da drinn beim systemstart

cacatoa 29.12.2004 20:12
Das wollte ich wissen. Schau mal hier zu dem Prozess "Soundman.exe".
Meines Erachtens sollte das System neu aufgesetzt werden.
Allerdings bitte vorher noch die eScan Ergebnisse posten (Öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.)
cacatoa

senator66 29.12.2004 20:12
Kannst du hier was mit anfangen ?

http://img.photobucket.com/albums/v296/F-S-L/neu-2.jpg

cacatoa 29.12.2004 20:21
Daraus sehe ich nur, daß der IE aktiv ist. Schau mal in Deinem Startmenü im autostart, ob der IE eingetragen ist.
Und bitte noch die Ergebnisse von eScan nachreichen.
cacatoa

senator66 29.12.2004 20:34
File C:\WINDOWS\System32\ds.exe infected by "not-a-virus:AdWare.EnergyPlugin.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\mac80ex.idf infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\FSL\LOKALE~1\Temp\8.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\FSL\LOKALE~1\Temp\i10.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

C:\Dokumente und Einstellungen\FSL\Lokale Einstellungen\Temp\8.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\FSL\Lokale Einstellungen\Temp\i10.tmp infected by "not-a-virus:AdWare.SurfSide.a" Virus. Action Taken: No Action Taken.

File C:\found.000\dir0000.chk\bbi8033[1].exe infected by "not-a-virus:AdWare.BargainBuddy.l" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{7D5BDE03-B35E-4F2E-84A8-A06D1C8888B3}\RP321\A0054021.exe infected by "not-a-virus:AdWare.EnergyPlugin.e" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{7D5BDE03-B35E-4F2E-84A8-A06D1C8888B3}\RP342\A0057437.exe infected by "not-a-virus:AdWare.EnergyPlugin.e" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{7D5BDE03-B35E-4F2E-84A8-A06D1C8888B3}\RP351\A0060950.exe infected by "TrojanDownloader.Win32.QDown.m" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{7D5BDE03-B35E-4F2E-84A8-A06D1C8888B3}\RP351\A0062983.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{7D5BDE03-B35E-4F2E-84A8-A06D1C8888B3}\RP351\A0062984.dll infected by "TrojanDownloader.Win32.Dyfuca.gen" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{7D5BDE03-B35E-4F2E-84A8-A06D1C8888B3}\RP351\A0062985.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{7D5BDE03-B35E-4F2E-84A8-A06D1C8888B3}\RP351\A0062989.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{7D5BDE03-B35E-4F2E-84A8-A06D1C8888B3}\RP352\A0063014.exe infected by "Trojan-Downloader.Win32.Agent.bq" Virus. Action Taken: No Action Taken.

cacatoa 29.12.2004 20:44
Also, das war ein Haufen Zeug, das Ärger macht. Du weißt trotz der Entfernung allerdings nicht, ob noch alles o.k. ist.
Bei dem Sammelsurium würde ich neu aufsetzen. Schau doch mal bei Tante google nach den ganzen Trojs; vielleicht gibst du mir dann recht; außerdem sollte dnn auch das IE-prob behoben sein.
Best Tipps zum Neuaufsetzen findest Du hier.
Tut mir leid, wenn ich dir nicht zufriedenstellender helfen konnte.
cacatoa


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:27 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130