Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   nervender trojaner :( (https://www.trojaner-board.de/11538-nervender-trojaner.html)

robib 02.01.2005 16:09
nervender trojaner :(
 
Hallo!

ich hab einen trojaner und den bekomm ich nicht weg!
egal ob mit escan, norton 2005, adaware, spybot usw :(

der trojaner macht dauernd popups im ie auf usw


hier mal meine hj log:

Logfile of HijackThis v1.98.2
Scan saved at 16:11:31, on 02.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\d3yt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\addrp.exe
C:\Programme\QuickTime\qttask.exe
C:\programme\steam\steam.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Messenger\msmsgs.exe
C:\Dokumente und Einstellungen\Robert\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0032D506-4FE0-DF8E-EB48-201C0AF54F67} - C:\WINDOWS\system32\sdkay32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [addrp.exe] C:\WINDOWS\system32\addrp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com




bitte um hilfe, danke :)

Shadowdance 02.01.2005 16:33
@ robib
Zitat:
Zitat von robib
ich hab einen trojaner und den bekomm ich nicht weg!
egal ob mit escan, norton 2005, adaware, spybot usw :(
-> hast Du den eScan bereits gemacht? Was zeigt er denn an? Und, wie hast du den eScan durchgeführt?

Ich glaube, Du solltest den eScan nochmal durchführen, entsprechend dieser Anleitung. Vergiss bitte nicht den eScan online zu updaten, bevor Du ihn offline im abgesicherten Modus durchführst. Alles was Du dazu wissen musst, kannst Du in der Anleitung nachlesen.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Zitat:
Zitat von robib
Logfile of HijackThis v1.98.2
-> bitte die aktuelle Version: v1.99.0 downloaden, ein neues Hijack This Logfile erstellen und posten.

robib 02.01.2005 16:44
escan hab ich richtig und mit der neuesten version durchgeführt ;)
ich scan nochmal und poste dann die log ...



die neue hjt log:
Logfile of HijackThis v1.99.0
Scan saved at 16:44:28, on 02.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINDOWS\d3yt.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\WINDOWS\system32\addrp.exe
C:\Programme\QuickTime\qttask.exe
C:\programme\steam\steam.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Robert\Eigene Dateien\HijackThis.exe
C:\Programme\Messenger\msmsgs.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\dvzbd.dll/sp.html#12345
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0032D506-4FE0-DF8E-EB48-201C0AF54F67} - C:\WINDOWS\system32\sdkay32.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [addrp.exe] C:\WINDOWS\system32\addrp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [Steam] "c:\programme\steam\steam.exe" -silent
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.static.topconverting.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted Zone: *.static.topconverting.com (HKLM)
O15 - Trusted IP range: 206.161.125.149 (HKLM)
O23 - Service: Adobe LM Service - Unknown - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - C:\Programme\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: ZESOFT - Unknown - C:\WINDOWS\zeta.exe (file missing)
O23 - Service: Network Security Service - Unknown - C:\WINDOWS\d3yt.exe

Shadowdance 02.01.2005 17:05
@ robib
Zitat:
Zitat von robib
escan hab ich richtig und mit der neuesten version durchgeführt ;)
ich scan nochmal und poste dann die log ...
Bitte nicht das ganze Logfile posten, sondern das Ergebnis des eScan: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)

Ich warte dann mal das Ergebnis des eScan ab. Hast Du einen zweiten Rechner? Der eScan wird nämlich im abgesicherten Modus offline durchgeführt.

robib 02.01.2005 18:38
nein hab keinen 2. rechner :(

hier mal die log:

File C:\WINDOWS\system32\sdkay32.dll infected by "Trojan-Downloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.

*** Reg Key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{0032D506-4FE0-DF8E-EB48-201C0AF54F67} deleted because ImagePath file infected by a VirusFile

C:\WINDOWS\system32\addrp.exe infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: File Deleted.

*** SOFTWARE\Microsoft\Windows\CurrentVersion\Run has RunningProcess defined as C:\WINDOWS\system32\addrp.exe (which is infected)!

*** Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\addrp.exe deleted because it is infected by a Virus

File C:\WINDOWS\d3yt.exe infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: File Deleted.

Sun Jan 02 16:59:08 2005 => *** SYSTEM\CurrentControlSet\Services\%AF夶À¨ has RunningProcess defined as C:\WINDOWS\d3yt.exe (which is infected)!
Sun Jan 02 16:59:08 2005 => *** Reg Value SYSTEM\CurrentControlSet\Services\%AF夶À¨\ImagePath deleted because it is infected by a Virus
Sun Jan 02 16:59:08 2005 => *** Reg Key SYSTEM\CurrentControlSet\Services\%AF夶À¨ deleted because ImagePath file infected by a Virus

File C:\WINDOWS\addfa.exe infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: File Deleted.

File C:\WINDOWS\aoqfg.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.

File C:\WINDOWS\apion.exe infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: File Deleted.

File C:\WINDOWS\gkslr.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.

File C:\WINDOWS\ipmk.exe infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: File Deleted.

File C:\WINDOWS\mscw.exe infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: File Deleted.

File C:\WINDOWS\msxmidi.exe infected by "Trojan-Downloader.Win32.WinShow.aq" Virus. Action Taken: File Deleted.

File C:\WINDOWS\ptkxd.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.

File C:\WINDOWS\winbp.exe infected by "Trojan-Downloader.Win32.Agent.gs" Virus. Action Taken: File Deleted.

File C:\WINDOWS\system32\apimm.exe infected by "Trojan-Downloader.Win32.Agent.al" Virus. Action Taken: File Deleted.

File C:\WINDOWS\system32\dvzbd.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.

File C:\WINDOWS\system32\fwmnl.dll infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: File Deleted.

File C:\Dokumente und Einstellungen\Robert\Lokale Einstellungen\Temp\3.tmp infected by "Trojan.Win32.HideProc.a" Virus. Action Taken: File Deleted.

File C:\Programme\Norton AntiVirus\Quarantine\26C142CA.tmp infected by "I-Worm.Sober.i" Virus. Action Taken: File Deleted.

File C:\Programme\Norton AntiVirus\Quarantine\3A123C33.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Programme\Norton AntiVirus\Quarantine\3C810F85.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Programme\Norton AntiVirus\Quarantine\40C013E9.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Programme\Norton AntiVirus\Quarantine\43B5646D.tmp infected by "I-Worm.Bagle.at" Virus. Action Taken: File Deleted.

File C:\Programme\Norton AntiVirus\Quarantine\46260CE8.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Programme\Norton AntiVirus\Quarantine\5D271E25.tmp infected by "TrojanDownloader.Win32.Small.vq" Virus. Action Taken: File Deleted.

File C:\Programme\Norton AntiVirus\Quarantine\672E6C9A.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Programme\Norton AntiVirus\Quarantine\74DB39DC.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\Programme\Norton AntiVirus\Quarantine\78E82559.htm infected by "Exploit.HTML.Mht" Virus. Action Taken: File Renamed.

File C:\WINDOWS\Downloaded Program Files\YSBactivex.dll infected by "Trojan-Downloader.Win32.IstBar.gp" Virus. Action Taken: File Deleted.




soooo :D



achja... beim scannen hatte ich um die 170 error, is das schlimm? :confused:

HerrKautz 02.01.2005 18:43
Hallo,


bei einer derartigen Durchseuchung,ist es meiner Meinung nach das Beste,das System neu aufzusetzen,lese dazu auch bitte dies :

http://www.trojaner-board.de/showpos...28&postcount=2

170 Fehler sind nicht normal,daher solltest du o.g. Tipp beherzigen!


Gruss

Edit: MSIE: Unable to get Internet Explorer version!

Hast du den IE gelöscht?Die Meldung habe ich ja noch nie gelesen!

robib 02.01.2005 18:52
ja ich wollt eh neu aufsetzen, nachdem ich es selber nicht geschafft habe die trojaner zu löschen (am anfang waren es 2 und weit weniger viren), aber ich hab gehofft hier hilfe zu finden ;)

naja.. mal abwarten und teetrinken, vllt gibts ja ne lösung

HerrKautz 02.01.2005 19:00
hehe,

du kannst nicht einfach den IE löschen,der ist Bestandteil von XP,heisst,der wird bei jedem Boot mitgeladen!

Also davon lässt du in Zukunft die Finger!

Hier gibt dir sicherlich niemand den Tipp,den IE zu löschen,allerhöchstens,ihn nicht zu benutzen,ausser für die Updates eben!

Aber löschen kannste den nicht,daher kommen auch die ganzen Fehler...


Gruss

robib 02.01.2005 19:06
omg.. lol ich hab nicht den ie gelöscht ^^

da hast du mich missverstanden :D

HerrKautz 02.01.2005 19:27
Mich stimmt es trotzdem nicht sonderlich gut,dass kein IE erkannt wird!

Ich habe imho keine Erklärung dafür,muss ich leider passen!


Aber wie gesagt,ist ein format c: in deinem Fall das Beste,meiner Meinung nach!

robib 04.01.2005 13:13
jo dann werd ich mal formatieren :heulen:


Alle Zeitangaben in WEZ +1. Es ist jetzt 21:41 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131