Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Neuer Trojaner? (https://www.trojaner-board.de/12014-neuer-trojaner.html)

]andi[ 12.01.2005 16:39

Neuer Trojaner?
 
Hallo,
seit 2 Tagen hab ich in C:\Programme nen neuen Ordner namens "wqvututv". Dieser enthält folgende Dateien: cnml.exe,profile.dat,Mx0HCAUY.exe,YUACH0xM.exe und YUACH0xM.dll Die beiden Dateien Mx0HCAUY.exe und YUACH0xM.exe seh ich im Task Manager ständig laufen, wenn ich jedoch einen davon kille wird dieser sofort neu gestartet. Der Ordner wqvututv lässt sich weder im normalen noch im abgesicherten Modus (wo die beiden Prozesse nicht laufen) löschen, ständig "Zugriff verweigert". Im "Run" Schlüssel der Registry habe ich die beiden Prozesse schon gelöscht, hat aber nix genutzt. Zudem erscheint im normalen Modus beim Klicken auf diesen Schlüssel die (sehr hilfreiche) Fehlermeldung: "kann nicht angezeigt werden. Fehler beim Lesen des Inhalts des Werts". Im abgesicherten Modus erscheint diese Fehlermeldung nicht. Wenn ich nach dem Ordner "wqvututv" in der Registry suche findet er haufenweise einträge, diese zu löschen bringt aber auch nix, beim nächsten neustart sind alle wieder da. Dieser Trojaner is also verdammt hartnäckig. A² findet in den Dateien gar keinen Trojaner, AntiVir nur wenn ich die Heuristik aktiviere. Es kommt dann die Anzeige dass "Heuristic/Trojan.Downloader" gefunden wurde. Auf der Wiederherstellungskonsole kann ich nicht auf den Ordner Programme zugreifen, also auch den wqvututv Ordner nicht löschen. Unter SUN Solaris 9, was ich auch benutze kann ich überhaupt auf kein NTFS zugreifen, nur FAT32. Sowas hab ich in 8 Jahren PC Erfahrung noch nie erlebt.

Bitte helft mir weiter.
Gruss André

PS: Hab den Inhalt des gesamten Ordners schon ins Incoming Verzeichnis von ftp.f-prot.com hochgeladen, da F-Prot gar nix erkannt hat.

HerrKautz 12.01.2005 16:45

Hallo

poste bitte ein Log von HijackThis hier her

http://hijackthis.de/downloads/hijackthis_199.zip

]andi[ 12.01.2005 16:49

Also gut, hier die Log:

Logfile of HijackThis v1.99.0
Scan saved at 16:47:35, on 12.01.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\RunDll32.exe
C:\WINDOWS\Dit.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\PROGRA~1\wqvututv\YUACH0xM.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\wqvututv\Mx0HCAUY.exe
C:\WINDOWS\CNYHKey.exe
C:\WINDOWS\DitExp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\CPUCooL\CooLSrv.exe
C:\Programme\F-Secure Anti-Virus\fswsclds.exe
C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\regedit.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Andre\Desktop\hijackthis_199\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.medion.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.aldi.com
O1 - Hosts: PC2.gebhard-net.de 10.0.0.3
O1 - Hosts: PC1.gebhard-net.de 10.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Flash Extender - {95795B67-BBAB-47d0-8A9F-069E8242C0E5} - c:\Program Files\Fen\fen.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Dit] Dit.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [PCMService] "C:\Programme\Medion Home Cinema XL II\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkUFind.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [FeCPY] "C:\Program Files\Common Files\Java\fecpy.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Kontrollfeld für die kabellose Tastatur.lnk = C:\WINDOWS\CNYHKey.exe
O8 - Extra context menu item: &NeoTrace It! - C:\PROGRA~1\NEOTRA~1\NTXcontext.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: MedionShop - {84FAA847-1400-4400-BC93-D338EF03127B} - http://www.medionshop.de/ (file missing) (HKCU)
O9 - Extra button: NeoTrace It! - {9885224C-1217-4c5f-83C2-00002E6CEF2B} - C:\PROGRA~1\NEOTRA~1\NTXtoolbar.htm (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...5c336c858f6465
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/...eInstaller.exe
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a840.g.akamai.net/7/840/537/2...ll/xscan53.cab
O16 - DPF: {74FFE28D-2378-11D5-990C-006094235084} (IBM Access Support) - https://www.ibm.com/pc/support/acces...d/IbmEgath.cab
O16 - DPF: {E5ABEB00-B357-4884-9949-77B2C71A7EE3} (BoardCtl Class) - http://support.intel.com/design/moth...id/BoardID.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/hpdj/en/check/qdiagh.cab?312
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = gebhard-net.de
O17 - HKLM\Software\..\Telephony: DomainName = gebhard-net.de
O17 - HKLM\System\CCS\Services\Tcpip\..\{17088543-D4BC-4EA9-AAB0-2A08EE0B235A}: NameServer = 10.0.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{6E389B76-1702-43B0-8FFF-07046F351EFA}: NameServer = 217.237.151.97 217.237.150.33
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = gebhard-net.de
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: CA-Lizenz-Client - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe
O23 - Service: CA-Lizenzserver - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe
O23 - Service: CPUCooLServer Service - Unknown - C:\Programme\CPUCooL\CooLSrv.exe
O23 - Service: F-Secure Windows Security Center Legacy Detection Service - F-Secure Corporation - C:\Programme\F-Secure Anti-Virus\fswsclds.exe
O23 - Service: Ereignisprotokoll-Überwachung - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe
O23 - Service: X10 Device Network Service - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe


Gruß,
André

chaosman 12.01.2005 17:04

@]andi[
du hast einiges im system,
lade dir escan download hier
anleitung hier
mache es genauso wie beschrieben wird
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)
scan dauert mindestens 1 stunde
chaosman

]andi[ 13.01.2005 00:46

Hm EScan hat in der Datei YUACH0xM.exe folgendes gefunden: "AdWare.CommonName.g"
Also glücklicherweise kein Trojaner
Jetzt wärs bloß noch gut zu wissen wie ich das Teil loskriege.

Gruß,
André

]andi[ 13.01.2005 03:08

So, hab nun herausgefunden dass ein Gerätetreiber namens "WinIK.sys" auch noch zur AdWare gehörte. Weder im normalen noch im abgesicherten Modues konnte ich diesen löschen, ein Löschen des Starteintrags in der registry hatte jedesmal nen Absturz von regedit.exe zur Folge. Also hab ich auf der Wiederherstellungskonsole gebootet und von dort aus den WinIK.sys gelöscht. Und siehe da - nun konnte ich auch den Ordner "wqvututv" und dessen Inhalt löschen. Auch die Fehlermeldung beim Anschauen des "Run" Schlüssels der Registry ist nun weg. Damit bin ich diesen Plagegeist nun endlich vollkommen los.

Aber n recht hartnäckiges Teil war das schon.

Gruß,
André

Shadowdance 13.01.2005 19:02

@ ]andi[

schön, dass Du weisst, welche Viren sich auf Deinem System befinden .. wir wüssten es auch gerne. Wenn Du möchtest, dass wir Dich beraten, solltest Du tun, um was wir Dich bitten:

Zitat:

Gestern 17:04
chaosman: Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre)


Alle Zeitangaben in WEZ +1. Es ist jetzt 16:21 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28