Trojaner-Board - Suche Hilfe wegen Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Suche Hilfe wegen Trojaner (https://www.trojaner-board.de/13254-suche-hilfe-wegen-trojaner.html)

Suche Hilfe wegen Trojaner

Hallo, Fachmänner!

Ich selbst traue mich nicht irgendwas zu löschen oder zu verändern ohne mich vorher zu informieren. Das Problem das ich habe, wurde hier zwar schon behandelt, jedoch kapier ich so gut wie nichts von dem, was dem anderen Opfer empfohlen wurde zu tun. Also bitte kein Fach-Chinesisch.

Ich habe folgendes Problem, bei dem ihr mir hoffentlcih weiterhelfen könnt.:

Wenn ich meinen PC mit samt Internetanbindung starte, öffnet sich das Antivir-Guard-Programm, und zeigt mir, dass in meinem "Temp-Ordner" im Verzeichnis:

"C:\Dokumente und Einstellungen\mein Benutzername\Lokale Einstellungen\Temp"

eine Datei Namens TMPXX.TMP (XX ist eine Variable) befindet, die der Trojaner "TR/Dldr.Small.VQ" ist. Als Optionen stehen mir "löschen der Datei", "umbenennen und Zugriff" und "zugriff verweigern" zur Verfügung. (oder so ähnlich)

Nachdem ich den Zugriff auf die Datei verweigert habe bzw. sie gelöscht habe (und neu gestartet habe), erstellt sich ständig eine neue Datei bzw. nennt sich um, und ich bekomme die selbe Meldung wie zuvor. Nur heist die Datei jetzt anders.

Wenn ich jedoch nicht am Internetanschluss angebunden bin und starte, habe ich keine Meldung.

Kann mir jemand helfen!?

Kann ich die Datei einfach manuell löschen, oder gelcih den ganzen Ordnerinhalt, oder ist da wichter Kram drinne?

Hi,
lade dir Clearprog setze den Haken bei alles löschen und dan auf löschen drücken. Keine Angst sind nur Temp Dateien usw.
http://www.cosgan.net/images/smilie/musik/k035.gif
Gruß Gigamail

gut, danke für den tipp. versuche ich dann gleich morgen. *freu*

Also jetzt habe ich mal mit clearprogg nach einem langen Krieg aufgeräumt. Habe zwischendurch festgestellt, das ich eine exe-Datei namens "winup...exe" in meinem Autostart hatte. Das war wohl die Quelle.

Habe die exe Gelöscht, und noch ein paar mal mit Adaware gescannt und mit cleanprog gecleant, dann kam auch beim Neustarten mit Internetanbindung keine Meldung mehr.

Leider musste ich dann feststellen, dass meine Firewall (ZoneAlarm) wohl gefetzt wurde. In der Taskleiste gab es kein Symbol mehr, auch nach dem Neustart nicht, und auch nicht als ich die Anwendung dafür ausführte. Nun kann ich sie nicht mehr neu installieren.

Er sagt er findet eine Datei namens "vsmon.exe" nicht mehr in

C:\Windows\system32\Zone Labs\vsmon.exe

Meine Frage wäre nun noch:

- Wie kann ich 100% sichergehn, dass mein System von sämtlichen Plagegeistern (Trojaner, Backdoorprogramme usw.) befreit ist?

- Wie kann ich ZoneLabs neu installieren, oder gint es eine bessere Alternative?

mfg phoss

@phoss
poste doch mal ein HJT logfile
download
anleitung

Er sagt er findet eine Datei namens "vsmon.exe" nicht mehr in

C:\Windows\system32\Zone Labs\vsmon.exe

vsmon.exe is a processs associated with the ZoneAlarm personal firewall. It is used to monitor Internet traffic and generate alerts depending on the security rules configured by the user.

- Wie kann ich 100% sichergehn, dass mein System von sämtlichen Plagegeistern (Trojaner, Backdoorprogramme usw.) befreit ist?

systemsicherheit:
lese diese anleitung durch, und ändere demensprechend dein system
http://www.trojaner-board.de/showpos...28&postcount=2

- Wie kann ich ZoneLabs neu installieren,
erst deinstallieren, danach installieren,

oder gint es eine bessere Alternative?
mit sicherheit, wenn du geld dafür übrig hast.

chaosman

Logfile of HijackThis v1.99.0
Scan saved at 00:34:48, on 06.02.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
E:\Antivir\AVGUARD.EXE
E:\Antivir\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
E:\Antivir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
E:\Asus SmartDoctor\SmartDoctor.exe
E:\Adobe Reader 7.0\Reader\reader_sl.exe
C:\Dokumente und Einstellungen\phos\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - E:\Adobe Reader 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINDOWS\System32\DSMANA~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] E:\Antivir\AVGNT.EXE /min
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [ASUS SmartDoctor] E:\Asus SmartDoctor\\SmartDoctor.exe /start
O4 - HKCU\..\Run: [Steam] "d:\valve\steam\steam.exe" -silent
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = E:\Adobe Reader 7.0\Reader\reader_sl.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ4.1\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\ICQ4.1\ICQLite.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - E:\Antivir\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - E:\Antivir\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TrueVector Internet Monitor - Unknown - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Was kann ich jetzt ahnhand der Auswertung vornehmen? Ist mein Sytem am Arsch??

Zu ZoneAlarm: Ich kann es trotz Deinstallation nicht installieren, warum auch immer. :(

mfg phoss

Hi phoss,

schau mal hier:

http://www.trojaner-board.de/showthr...ght=mszx23.exe

wegen dieses Eintrags in Deinem Logfile:
O4 - HKLM\..\Run: [secboot] C:\WINDOWS\System32\mszx23.exe !!
(C:\WINDOWS\System32\mszx23.exe infected by "Backdoor.Win32.Haxdoor.bh Virus)

Dein System ist kompromettiert, hier wird Dir empfohlen entsprechend dieser Anweisung neu aufzusetzen:
http://www.trojaner-info.de/report_i...nleitung.shtml

dartus

@phoss
das hier ist der anleitung

chaosman

Wenn ich neu partitioniere, dann wird doch automatisch formatiert, oder?

Also ich habe jetzt NTFS, dann müsste ich auch alle Partitionen mit dem NTFS-Dateisystem formatieren, damit auch alles gelöscht wird, oder? Wenn man "schnell" wählt, dann behält er Daten bei, was ich ja nicht sollte.

Stimmt das soweit? ^^

Gibt es eigentlich ein Programm, das solche Trojaner erkennt, und nichts kostet? Habe eben auf der Sophos homepage gesehn, dass das Progg den Trojaner Backdorr.Haxor erkennt. Antivir scheint das ja nicht zu können.

Noch eine Frage:

Ist es ratsam Dateien die "wahrscheinlich nicht infiziert" sind - z.B. mp3s, Bilder, Filme etc. - auf einen externen Datenträger überspielen, und nach der Neuinstallation wieder aufzuspielen?