|
TR/DIdr.Agent.TV.9 und TR/Drop.Small.bke.2 Hallo ihr Helfer! Ich habe seit gestern ein Problem mit folgenden Trojanern: - TR/DIdr.Agent.TV.9 - TR/Drop.Small.bke.2 Ich habe bereits versucht die Hilfeschritte in der anderen Diskussion zu befolgen, habe auch die Dateien gesucht, aber nicht gefunden. Ich vermute das dies ein klein bisschen anderes Problem ist. Ich habe nur folgende Dateien gefunden: -Spoolsv.exe nicht Spoolsv32.exe -dllhost.exe nicht dllhost32.exe -ntdll.dll und nicht ntdll.exe irgendwie find ich das ein bischen verwirrend. Ach und noch was. Ich erhalt mit jedem Start eines neuen Programms eine Meldung vom Antivir das folgende Datei der Trojaner ist: C:\DOKUME~1\BASTIA~1\LOKALE~1\TEMP\328792_2404_612_3076_65.41.TMP Jetzt bin ich ratlos,... das scheiß Ding lässt sich nicht löschen, bzw. wird immer wieder erstellt. Danke für eure HILFE !!! |
Servus, Samqx! Poste doch einmal ein HJT-Logfile nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17493 Bis dann, stupormundi |
Hier mein HJT-Logfile: :bussi: :daumenhoc Logfile of HijackThis v1.99.1 Scan saved at 13:08:12, on 18.10.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe C:\PROGRAMME\ANTIVIR PE\AVGUARD.EXE C:\Programme\AntiVir PE\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\alg.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\pctspk.exe C:\Programme\DU Meter\DUMeter.exe C:\Programme\DaemonTool\daemon.exe C:\Programme\Cherry\KeyMan\KeyMan.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\etb\pokapoka65.exe C:\Programme\SurfAccuracy\SAcc.exe C:\WINDOWS\NCLAUNCH.EXe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe C:\Programme\Cherry\CDI\CDI.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wscntfy.exe C:\Programme\ICQ\Icq.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\BASTIA~1\LOKALE~1\Temp\Rar$EX00.487\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll - C:\WINDOWS\system32\hlwin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] REM C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [DU Meter] C:\Programme\DU Meter\DUMeter.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\DaemonTool\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AntiVir PE\AVGNT.EXE /min O4 - HKLM\..\Run: [CherryKeyMan] "C:\Programme\Cherry\KeyMan\KeyMan.exe" O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [shell32] C:\WINDOWS\system32\wuauclt10.exe O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\system32\smmss.exe O4 - HKLM\..\Run: [Windows update] C:\WINDOWS\system32\wudupdate.exe O4 - HKLM\..\Run: [I downloaded pirated Software from P2P and now I post my Hijack log whining] C:\WINDOWS\system32\Fussball Manager 2006 crack.exe O4 - HKLM\..\Run: [System service65] C:\WINDOWS\etb\pokapoka65.exe O4 - HKLM\..\Run: [SurfAccuracy] C:\Programme\SurfAccuracy\SAcc.exe O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe O4 - Startup: WKCALREM.LNK = C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\WkCalRem.exe O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\13C1B~1.BAS\MICROS~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Send to Keyman - C:\Programme\Cherry\KeyMan\IEMenuExtKeyman.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\13C1B~1.BAS\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\ANTIVIR PE\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir PE\AVWUPSRV.EXE O23 - Service: Cherry Device Interface - Cherry Gmbh, Auerbach Germany, - C:\Programme\Cherry\CDI\CDI.exe O23 - Service: Photoshop Elements Device Connect (PhotoshopElementsDeviceConnect) - Unknown owner - C:\Programme\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe Ich hoffe das das Aussagekräftig genug ist und ich nicht das falsche editiert habe :dummguck: |
Ach übrigens,... Ich log mal die ganzen Temp. Dateien mit, die er bei jedem Programmstart anlegt,... Vielleicht nutzt das was. :snyper: |
Servus, Samqx! Bevor wir da jetzt Rätsel raten lass´ diese Datei/en Zitat:
Wenn sich mein Verdacht bestätigt, brauchst Du sonst gar nicht mehr weitersuchen, da Du dann einen oder mehrere sog. Backdoor-Trojaner im System hast. Dann hilft nur noch http://www.trojaner-board.de/showthread.php?t=12154 Bis dann, stupormundi |
Ich habe beide exe Dateien im Autostart gefunden, allerdings nicht im System 32. Soll ich in den Abgesicherten Modus gehen und diese Dateien über HJT löschen? |
Nicht löschen, sondern überprüfen lassen (siehe vorpost) Erst das Wissen was es ist hilft bei der Entscheidung der weiteren Vorgehensweise. Sollte es ein Backdoor sein, hilft Dir einfaches löschen sowieso nicht! stupormundi |
Die Dateien die so ähnlich heißen -wuaudt.exe -wuaudt1.exe hab ich alle gecheckt und die hatten alle keinen Virus. |
Ja wie soll ich denn bitte die Datei überprüfen, wenn ich diese überhaupt nicht finde. Beide exe Dateien lassen sich nirgendwo in diesem System 32 auffinden. |
Nicht wahllos Dateien die so ähnlich heißen (das können sehr viele sein) sondern exakt (beachte die genaue Schreibweise und den Pfad) nur die von mir zitierten. Solltest Du die nicht gleich finden, achte darauf, dass auch Systemdateien und versteckte Dateien angezeigt werden (Windows-Explorer: Menüleiste-->Extras--> Ansicht: Erweiterte Einstellungen--> Haken bei "Geschützte Systemdateien ausblenden (empfohlen)" deaktivieren und Haken setzen bei "Inhalte von Systemordnern anzeigen"-->*Click* "Übernehmen" und dann die Dateien suchen und zu Jotti senden! stupormundi |
Also was auch immer ich falsch mache,... Ich habe die Systemdateien eingblendet, die versteckten auch aber ich finde die angegebenen Dateien nicht im Sytem 32. Ich habe im Autostart schon mal nachgeschaut und da steht genau der selbe Quellpfad wie du ihn geschrieben hast und genau diesen mache ich über copy paste in die Suchmachine, also nur das: wuauclt10 Finden tut er trotzdem nix... |
Eigenartig, maskiert sich gut ... Naja, dann etwas anderes - dauert etwas länger! Lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=17492 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hau45´s "find.bat" (in der Anleitung ebenfalls beschrieben). Halte Dich genau an alle Punkte der Anleitung und habe Geduld. Wenn die Einstellungen richtig gewählt sind, läuft der Scan >1 Stunde und länger. ~~Edit: Nachtrag: Habe ich vorher vergessen bei den versteckten Dateien Zitat:
|
Hallo, Zitat:
Escan ist auf jeden Fall eine gute Idee, aber meiner Meinung nach kannst du nebenbei schon Datensicherung betreiben ;) Grüße Wildone |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 06:11 Uhr. |
Copyright ©2000-2025, Trojaner-Board