Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Böser neuer Trojaner ?! wird nicht erkannt! (https://www.trojaner-board.de/17456-boeser-neuer-trojaner-erkannt.html)

creaktiv 05.05.2005 17:51

Böser neuer Trojaner ?! wird nicht erkannt!
 
Bei WinTotal entdeckt und genau den habe ich offensichtlich eingefangen.
Wird von Antivir, Norton, usw nicht erkannt von Kapersky erkannt aber bisher nicht beseitigt.
Benutze XP + SP2 + Update ...

TASKMGRU.EXE
(bhoass.dll, Bhoassui.exe, MSIMN32.EXE) Schädlinge (C:\Windows\(WINNT)\System; system32) Win32.Agent-CX, Trojan.StartPage {1A1488CB-8028-49ba-AD19-18D13CDC650F}

Möglicher Weise hat das Ding auch noch die Festplatte auf PIO von UDMA umgestellt, weil alles extrem lansam geht und ruckelt.

Wie kann man das alles reparieren???? :heulen: :heulen:

Kampf den Spammern und Viren und... :teufel2:

Cidre 05.05.2005 18:22

Hallo,

erstelle mit Hilfe dieser bebilderten Anleitung ein HiJackThis Log-File und poste es hier rein.
Beachte die Hinweise!

Überprüfe die o.g. Datei bei http://virusscan.jotti.org/de und poste ebenso das Ergebnis.

creaktiv 06.05.2005 08:34

Logfile of HijackThis v1.99.1
Scan saved at 07:56:01, on 06.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\System32\CTsvcCDA.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\LiteStep\litestep.exe
c:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avant Browser\avant.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Ernst\LOKALE~1\Temp\Rar$EX00.703\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.creaktiv.at.tt/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O8 - Extra context menu item: Alle Bilder von gleichem Server filtern - C:\Programme\Avant Browser\AddAllToADBlackList.htm
O8 - Extra context menu item: Hervorheben - C:\Programme\Avant Browser\Highlight.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suchen - C:\Programme\Avant Browser\Search.htm
O8 - Extra context menu item: Zur Werbebanner-Filterliste hinzufügen - C:\Programme\Avant Browser\AddToADBlackList.htm
O8 - Extra context menu item: Öffne alle Links auf dieser Seite... - C:\Programme\Avant Browser\OpenAllLinks.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/su/ocx/15009/CTSUEng.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1113079465982
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCX...lientNoMFC.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/su/ocx/15010/CTPID.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2C827CD-A8E9-444A-9CCC-D212FD034072}: NameServer = 213.174.248.1 193.80.248.1
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Die Kurzauswertung:

C:\LiteStep\litestep.exe - Unbekannt
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAV...oadManager.ocx - Eventuell Böse
O16 - DPF: {E56347B0-6C2B-4C2E-939F-EE513EAC80BC} (Creative Product Registration ActiveX Control Module) - http://www.creative.com/register/OCX...lientNoMFC.cab - Eventuell Böse
O17 - HKLM\System\CCS\Services\Tcpip\..\{C2C827CD-A8E9-444A-9CCC-D212FD034072}: NameServer = 213.174.248.1 193.80.248.1 - Eventuell Böse

Der Machine Debug Manager wurde von mir ausgeschaltet.

In der msconfig gibt es keine system.ini :confused:

Eine Datei Explorer.exe im Verezichnis c:/windows lässt sich nicht löschen und beim anklicken bekomme ich die Meldung, dass diese Datei nicht gefunden werden kann. :teufel3:

Ich verwende daher im Moment als Explorer Litestep mit einer umbenannten explorer.exe.exe die funktioniert. :mad:

Cidre 06.05.2005 08:45

OK, das HJT Log-File bringt uns im Moment nicht weiter.

Was ergab die Überprüfung der TASKMGRU.EXE?

Um mehr Licht ins Dunkel bringen...
Lade und scanne mit eScan AntiVirus im abgesicherten Modus und poste uns die Virus Log Information.
Beachte die Hinweise!

creaktiv 06.05.2005 10:33

TASKMGRU.EXE liefert nach neuerlichen überspielen durch XP SP2 kein Ergebnis 0KB. Werde scan durchführen und senden.

Explorer.exe 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)
in c:/windows
0,98 MB (1.035.264 Bytes) Mittwoch, 4. August 2004, 00:57:54 kann nicht gefunden werden, obwohl ich mit rechtsklick diese Eigenschaften erhalte und die umbenannte Version exe.exe funktioniert???

creaktiv 06.05.2005 12:04

Bisherige Funde - scan läuft noch: :confused:

File System Found infected by "Alexa Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.
File C:\LiteStep\utilities\UpdateBuild.exe infected by "not-a-virus:AdWare.MetaDirect.b" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\stlbd.dll infected by "not-a-virus:AdWare.ToolBar.ToolBand.a" Virus. Action Taken: No Action Taken.

Auf D:/ wurden einige Einträge wie unten gefunden.
File D:\Dokumente und Einstellungen\Ernst\Eigene Dateien\Programme\StrongHold\stronghold_trn2.zip tagged as not-a-virus:Cracker.Game.HotHook. No Action Taken.

creaktiv 06.05.2005 17:20

Leider gibt es auch durch den Scan keine weiteren Erkenntnisse aber die explorer.exe funktioniert trotz dem nicht. :heulen:

creaktiv 06.05.2005 17:50

HKEY_USERS\S-1-5-21-1715567821-1303643608-1801674531-1003\Software\Microsoft\Search Assistant\ACMru\5603

Hier finden sich folgende Einträge:
bhoass.dll :koch:
TASKMGRU.EXE :koch:
*.pub
*23wxp*
fixjar*
Counters.zip*
usbehci
tune
direct

löschen oder berichtigen oder ...

creaktiv 14.05.2005 14:59

Böser neuer Trojaner ?! wird nicht erkannt!
 
:koch: :koch: :koch:
Hallo Leute, jetzt ist schluß. :koch:

Das was sich bei mir eingenistet hat, ihr werdet es nicht glauben hat nicht nur die explorer.exe gesperrt und es war auch weder Taskleiste noch Desktop zu sehen, nein noch viel mehr !!!!

Es hat eine starke Erhitzung meiner Grafikkarte GeForce FX5200 bewirkt so lange bis sie vom Systam nicht mehr erkannt werden konnte???? :koch: :koch:

Ich habe alle möglichen Viren und Trojanerprogramme drüberlaufen lassen, keiner hat irgend etwas gefunden.

Ich habe die anderen Festplatten mit der Sicherung abgehängt und format c:/ durchgeführt und das System neu aufgesetzt und siehe da!

Alles funktioniert wieder und die Grafikkarte wird erkannt und arbeitet mit der normalen Temperatur. vorher hat man sich die Finger verbrannt (ein Wunder, daß sie nicht geschmolzen ist) jetzt wird sie nur wenig warm.

So und jetzt sind die "WIRKLICHEN" Fachleute gefragt.
Wer kann mir das plausibel erklären????? :headbang: :(

Ganz herzliche Grüße aus Österreich


Ernst

PS: ich glaub nicht, dass es irgend einen unter euch gibt der das erklären kann.


Alle Zeitangaben in WEZ +1. Es ist jetzt 05:51 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28