Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner an Bord... (https://www.trojaner-board.de/12308-trojaner-bord.html)

Robbe 17.01.2005 12:48
Trojaner an Bord...
 
Habe einen oder mehrere Trojaner auf der Platte.

Habe etliche scanner rüberlaufen lassen und versucht, die Dinger zu entfernen.
Mein IE gibt keine google-Suchergebnisse mehr aus, werde immer weitergelinkt zu http://61.131.54.618.cc/search.php?q...arch&aid=A0001 .

Angezeigt wurden verschiedene versionen vom downloader-trojan.win32....

Wie krieg ich das wieder hin?
Mozilla läuft noch...


MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
C:\WINNT\system32\spoolsv.exe
d:\eScan\TRAYSSER.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\SYSTEM32\GEARSEC.EXE
d:\eScan\avpm.exe
C:\apache\mysql\bin\mysqld-nt.exe
D:\Norton AntiVirus\IWP\NPFMntor.exe
D:\NORTON~2\NORTON~1\NPROTECT.EXE
C:\WINNT\system32\nvsvc32.exe
c:\apache\APACHE.EXE
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
c:\apache\APACHE.EXE
D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\WINNT\system32\stisvc.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\locator.exe
C:\WINNT\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe
C:\WINNT\system32\SiSAudUt.exe
D:\eScan\TRAYICOS.EXE
D:\eScan\AVPMWrap.EXE
C:\WINNT\system32\internat.exe
C:\WINNT\system32\rundll32.exe
D:\eScan\MAILDISP.EXE
d:\eScan\MAILSCAN.EXE
D:\eScan\SPOOLER.EXE
d:\eScan\kavss.exe
D:\eScan\AvpM.exe
D:\1&1 Internet\Profi-Dialer\ProfiDialer.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Mozilla1.7\mozilla.exe
D:\PMAIL\winpm-32.exe
D:\eScan\eScanWin.exe
D:\eScan\kavss.exe
D:\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.682\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG
O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINNT\system32\DSMANA~1.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - d:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - d:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg
O4 - HKLM\..\Run: [SiS7012Utility] C:\WINNT\system32\SiSAudUt.exe -vxd
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe
O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\eScan\LAUNCH.EXE"
O4 - HKLM\..\Run: [eScan Updater] d:\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] d:\eScan\AVPMWrap.EXE
O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe
O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing
O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/
O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://deposito.hostance.net/dialer/1066732.exe
O16 - DPF: {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - http://qck.cc/x/ipreg32.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{552F107B-691F-467E-A7D6-844821C77B6E}: NameServer = 217.237.151.33 217.237.149.225
O17 - HKLM\System\CCS\Services\Tcpip\..\{7CCB236F-25F6-4612-B749-41FE7C5E43AB}: NameServer = 192.168.122.252,192.168.122.253
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe
O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: eScan Server-Updater - MWTI2 - d:\eScan\TRAYSSER.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE
O23 - Service: eScan Monitor Service - Kaspersky Labs. - d:\eScan\avpm.exe
O23 - Service: MySql - Unknown - C:/apache/mysql/bin/mysqld-nt.exe
O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - D:\Norton AntiVirus\IWP\NPFMntor.exe
O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\NORTON~2\NORTON~1\NPROTECT.EXE
O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe
O23 - Service: PHPGeekUtil - Unknown - c:\apache\APACHE.EXE
O23 - Service: SAVScan - Symantec Corporation - D:\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe

Wäre schön, wenn jmd. helfen könnte...

Shadowdance 17.01.2005 14:20
@ Robbe

--> Überprüfe Deinen Rechner mit dem eScan.

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Robbe 17.01.2005 15:46
File C:\WINNT\webdlg32.dll tagged as not-a-virus:AdWare.ToolBar.SBSoft.g. No Action Taken.
File C:\Dokumente und Einstellungen\Robbe\Lokale Einstellungen\Temp\sahagent.exe tagged as not-a-virus:AdWare.Sahat.h. No Action Taken.
File C:\WINNT\webdlg32.dll tagged as not-a-virus:AdWare.ToolBar.SBSoft.g. No Action Taken.


Was nu?

chaosman 17.01.2005 15:59
@Robbe
editiere bitte deinen link im ersten posting
wenn das alles war was escan gefunden hat(wundert mich, hatte wesentlich mehr erwartet) ,
File C:\WINNT\webdlg32.dll tagged as not-a-virus:AdWare.ToolBar.SBSoft.g. No Action Taken.
File C:\Dokumente und Einstellungen\Robbe\Lokale Einstellungen\Temp\sahagent.exe tagged as not-a-virus:AdWare.Sahat.h. No Action Taken.
File C:\WINNT\webdlg32.dll tagged as not-a-virus:AdWare.ToolBar.SBSoft.g. No Action Taken.

dann kannst du diese dateien in den abgesicherten modus bei deaktivierte systemwiederherstellung manuell löschen, danach neu booten.
chaosman


Alle Zeitangaben in WEZ +1. Es ist jetzt 01:35 Uhr.

Copyright ©2000-2026, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58