Trojaner-Board - Virus Hijacker erstellt tmp dateien auch im abges. modus

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus Hijacker erstellt tmp dateien auch im abges. modus (https://www.trojaner-board.de/17806-virus-hijacker-erstellt-tmp-dateien-abges-modus.html)

Virus Hijacker erstellt tmp dateien auch im abges. modus

Hallo zusammen,
nachdem ich jetzt alles probiert habe, muss ich hier doch mal eine Frage stellen.
Ich habe gerade ein Notebook von einem bekannten, mit Win xp home ed.
Beim normalen starten zeigt der Taskmanager eine svchost.exe mit 99% proz zeit und in den Temp Verzeichnissen entstehen lauter 10-stellige tmp files mit 36kb größe, die sich nicht löschen lassen. zb.: h9gc51d9xc.tmp
Wenn ich den einen svchost Prozess beende kann ich arbeiten.
So und jetzt kommt das unglaubliche:
Selbst im abgesicherten modus enstehen die .tmp files und auch hier ist der Zugriff verweigert und sie lassen sich nicht löschen.
Jetzt frage mich, wo sich der Kerl eingenistet hat, dass er sogar im abgesicherten Modus startet.

Ach ja die tmp dateien von gestern 14.05 konnte ich um 00:01 löschen.

Hijacktis hat mir den win-eto hijacker gefunden (kommt nach dem fixen aber immer wieder), escan findet nur 28 Fehler, aber keinen virus..

Ich bin mit meinem Latein am Ende, und bir für jeden Tip dankbar.
Holger

Erstelle einen Logfile mittels Hijackthis

Kurzanleitung

Ausführliche Anleitung

Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.

Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://trojaner-board.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Alternativ, je nach verwendete Forensoftware:
Woltlab Burning Board: Optionen -> Haken entfernen bei 'Urls automatisch umwandeln'!
vBulletin Board: Zusätzliche Einstellungen -> Haken entfernen bei 'Links automatisch umwandeln'!(Zitat Cidre)

Hallo, :)
hier ist das Logfile (abgesicherter Modus), wie gesagt, der win-eto eintrag kommt immer wieder.

Logfile of HijackThis v1.99.1
Scan saved at 02:01:03, on 15.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\bases_x\mwavscan.com
C:\bases_x\kavss.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=9
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=9
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O4 - HKLM\..\Run: [CeEPOWER] C:\Programme\TOSHIBA\Power Management\CePMTray.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TPNF] C:\Programme\TOSHIBA\TouchPad\TPTray.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKLM\..\Run: [SCANINICIO] "C:\Programme\Panda Software\Panda Antivirus Platinum\Inicio.exe"
O4 - HKLM\..\Run: [APVXDWIN] "C:\Programme\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O4 - Global Startup: MA111 Configuration Utility.lnk = ?
O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Programme\Panda Software\Panda Antivirus Platinum\pavsrv51.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Das einzige Programm bezüglich Sicherheit im Netz, was nicht im abgesicherten Modus laufen sollte, ist Hijackthis.
Deswegen bitte Logfile aus dem normalen Modus posten.
Wir wollen doch sehen, was im Normalbetrieb läuft.

Hallo Cronos,
jetzt habe ich es geschafft. Konnte mich zwischenzeitlich nicht mehr im normalen Modus anmelden.
So sieht das hijack log jetzt aus:

Logfile of HijackThis v1.99.1
Scan saved at 09:28:48, on 15.05.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Programme\PestPatrol\PestPatrol.exe
C:\Dokumente und Einstellungen\Nicole\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=9
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://win-eto.com/hp.htm?id=9
O4 - HKLM\..\Run: [PPMemCheck] C:\Programme\PestPatrol\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Programme\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\Programme\PestPatrol\CookiePatrol.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\CTFMON.EXE
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SpySweeper.exe" /0
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O13 - DefaultPrefix:
O13 - WWW Prefix:
O13 - Home Prefix:
O13 - Mosaic Prefix:
O13 - FTP Prefix:
O13 - Gopher Prefix:
O15 - ProtocolDefaults: '@ivt' protocol is in My Computer Zone, should be Intranet Zone (HKLM)
O15 - ProtocolDefaults: 'file' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'ftp' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'h**p' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O15 - ProtocolDefaults: 'h**ps' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Grüßle Holger