|
Hilfe - laufend neue Trojaner gefunden! Seit gestern werden laufend neue Trojaner von meinem AV Programm gefunden. Gestern nacht 4 und heute mittag schon wieder 1. Die 4 gestern Nacht sind von AntiVir während eines ewido scans (der aber clean war) gefunden worden, der heute mittag ist einfach so aufgetaucht. Ich habe hier mein HJT Log und weiter unten einen Auszug aus meinem AV Log mit den entfernten Trojanern. Logfile of HijackThis v1.99.1 Scan saved at 12:43:07, on 28.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\RunDll32.exe C:\WINDOWS\Dit.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\mHotkey.exe C:\WINDOWS\CNYHKey.exe C:\WINDOWS\AGRSMMSG.exe C:\Programme\Home Cinema\PowerCinema\PCMService.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\iTunes\iTunesHelper.exe C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Dokumente und Einstellungen\Desktop\cleanup\HijackThis-1.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Verknüpfung mit der High Definition Audio-Eigenschaftenseite] HDAudPropShortcut.exe O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [Dit] Dit.exe O4 - HKLM\..\Run: [CHotkey] mHotkey.exe O4 - HKLM\..\Run: [ledpointer] CNYHKey.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe O4 - HKLM\..\Run: [ISUSPM Startup] C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup O4 - HKLM\..\Run: [ISUSScheduler] "C:\PROGRA~1\GEMEIN~1\INSTAL~1\UPDATE~1\issch.exe" -start O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\nbj.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinManager.lnk = C:\Programme\Fujitsu Siemens\WinManager\WinManager.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm O16 - DPF: {106E49CF-797A-11D2-81A2-00E02C015623} (AlternaTIFF ActiveX) - h**p://w*w.alternatiff.com/install/00/alttiff.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - h**p://software-dl.real.com/12b59a1dbbc2c6658a05/netzip/RdxIE601_de.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1097566082250 O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://w*w.pandasoftware.com/activescan/as5/asinst.cab O16 - DPF: {CAFEEFAC-0015-0000-0001-ABCDEFFEDCBA} (Java Plug-in) - O16 - DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} (Java Plug-in) - O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe ------------------------------------------------------------------------ 28.12.2005,01:40:52 WARNING: Is the Trojan horse TR/Dldr.Qoologic.AZ! C:\WINDOWS\SYSTEM32\EIUPSOQ.DLL File has been deleted! 28.12.2005,01:41:26 WARNING: Is the Trojan horse TR/Proxy.Xorpix.e! C:\WINDOWS\SYSTEM32\MSTOOL.EXE File has been deleted! 28.12.2005,01:42:10 WARNING: Is the Trojan horse TR/Proxy.Xorpix.e! C:\WINDOWS\TOOL1.EXE File has been deleted! 28.12.2005,01:42:20 WARNING: Is the Trojan horse TR/Dldr.Adload.J.40! C:\WINDOWS\TOOLBAR.EXE File has been deleted! 28.12.2005,12:30:47 WARNING: Is the Trojan horse TR/Dldr.Adlo.J.47.B! C:\SYSTEM VOLUME INFORMATION\_RESTORE{24289D6B-06F0-4CA6-9916-0832760BBC54}\RP195\A0020640.EXE File has been deleted! |
Servus! In Deinem Log kann ich nichts entdecken, was auf Malware hinweist! Allerdings sind die von Dir zitierten Funde nicht ohne! Zu Deiner Konfiguration: Nutzt Du Antivir als Hintergrundwächter und scannst mit ewido on demand (verstehe nämlich so ad hoc die Meldung 'Antivir meldet, während ewido scannt' sonst nicht) Um mal eine andere Engine zum Einsatz zu bringen lass mal escan nach Cidres Anleitung http://www.trojaner-board.de/showthread.php?t=24192 im abgesicherten Modus http://www.systemwiederherstellung-d...indows-xp.html laufen und poste anschließend das Ergebnis von Hauis45´s 'find.bat' (ist in der Anleitung ebenfalls beschrieben). Halte Dich genau an diese Anleitung (Speicherort von escan-entpacken nach C:\bases_x, Spracheinstellung "English", alle Häkchen wie beschrieben setzen) sonst funktioniert die find.bat nicht. Lies´ die Anleitung zuerst ganz durch, sonst übersiehst Du vielleicht etwas! stupormundi |
Zitat:
AntiVir wacht immer und ewido benutze ich für wöchentliche scans. Werde jetzt gleich deine anderen Tips befolgen! Vielen Dank fürs rasche Antworten :daumenhoc |
escan hat folgende Infektionen gefunden: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "infected" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Dec 28 13:55:58 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken. Wed Dec 28 13:55:58 2005 => System found infected with troj/taladra-f BackDoor ({e7bc34a3-ba86-11cf-84b1-cbc2da68bf6c})! Action taken: No Action Taken. Wed Dec 28 13:55:58 2005 => System found infected with netster Spyware/Adware ({56336bcb-3d8a-11d6-a00b-0050da18de71})! Action taken: No Action Taken. Wed Dec 28 13:56:01 2005 => System found infected with cws.loadadv.400 Browser Hijacker (kl.exe)! Action taken: No Action Taken. Wed Dec 28 13:56:04 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Wed Dec 28 13:56:04 2005 => System found infected with cws.therealsearch Spyware/Adware (waol.exe)! Action taken: No Action Taken. Wed Dec 28 14:21:52 2005 => File C:\Dokumente und Einstellungen\****\Anwendungsdaten\Thunderbird\Profiles\ddof1pjz.default\Mail\Local Folders\Inbox infected by "Email-Worm.Win32.Mydoom.i" Virus! Action Taken: No Action Taken. Wed Dec 28 14:31:58 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.* Wed Dec 28 15:26:35 2005 => File C:\WINDOWS\kl.exe infected by "Trojan-Spy.Win32.Small.dg" Virus! Action Taken: No Action Taken. Wed Dec 28 15:53:51 2005 => Total Disinfected Files: 0 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "tagged" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Funde für "offending" ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Dec 28 13:56:01 2005 => Offending file found: C:\WINDOWS\kl.exe ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Statistiken: ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ Wed Dec 28 15:53:51 2005 => Total Virus(es) Found: 8 Wed Dec 28 15:53:51 2005 => Total Errors: 438 Wed Dec 28 15:53:51 2005 => Time Elapsed: 01:58:43 Wed Dec 28 15:53:50 2005 => Total Objects Scanned: 85084 Wed Dec 28 13:54:24 2005 => Virus Database Date: 12/26/2005 Wed Dec 28 15:53:51 2005 => Virus Database Date: 12/26/2005 ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ ~~~~~~~ © Haui ;-) ~~~~~~~ ~~~~~~~ Dank an Cidre ~~~~~~~ |
Ich hab mal nachgeschaut, was ich mir da laut log so alles eingefangen habe, und troj/taladra-f BackDoor scheint ja wirklich fies zu sein! Ich habe hier im Forum verschiedene Threads bzgl. Backdoor Trojaner durchgelesen, und bin jetzt unsicher: Woher weiss ich, ob "mein" Backdoor Trojaner schon aktiv wurde oder nicht? Ist eine Neuaufsetzung in jedem Fall notwendig? Danke im voraus! |
Hi, erstens: Im Moment sieht man von Taladra einen registry-Schlüssel. Kann ein verwaister eintrag sein; muß aber nicht. In deinem Fall glaube ich eher, daß er noch aktiv ist. Zweitens: Hast du den eScan im abgesicherten Modus gemacht? Ich glaube nicht; 438 errors lassen darauf schließen. Ich würde neu aufsetzen. cacatoa |
Zitat:
*dumm guck* |
Na, ja; die errors tauchen dann meist auf, wenn eScan Dateien scannt, die gerade in Benutzung sind. Und im abgesicherten Modus geben mir 438 errors eben zu denken. cacatoa |
Ich hab auch wie in einem anderen thread beschrieben nach der Datei ntsvc.ocx gesucht - ohne Ergebnis... Wer kann mir weiterhelfen? *kopf kratz* |
wenn du eine formatierung noch verhindern willst dann solltest du einen leistungsfähigeren virenscanner installieren , denn 8 oder mehr schädlinge manuell zu eleminieren ist sicher kein zuckerschlecken ;) ich würde dir raten mal die trial version von kaspersky HIER zu testen, nachdem du antivir komplett deinstalliert hast ... zusätzlich solltest du spybot-S&D HIER dein system scannen lassen. während dem ganzen vorgang hast du natürlich deine internetverbindung (netzwerkkabel ziehen) deaktiviert. mfg |
Zitat:
Zitat:
Zitat:
Soll ich die Verbindung deaktivieren oder den Router ausschalten? Vielen Dank nochmal!! |
ein S-S&D logfile wär schon interessant , und wenn du bei deinem router die stromzufuhr abschalten kannst (und dir keiner deswegen an die gurgel springt) dann solltest du das machen ;) ansonsten geht das auch einfach indem wenn du unter im gerätemanager ("netzwerkadapter") deine WLAN-karte(rechtsklick-->"deaktivieren") vorrübergehend abschaltest. |
jetzt bin ich völlig gebaffelt... Ich habe AntiVir runtergeschmissen und die trial Version von Kaspersky installiert. Der Scan war clean!! Und das, obwohl escan 8 Infektionen gefunden hat! Was soll ich denn jetzt tun? :heulen: |
|
naja wenn kaspersky nix findet dann heisst das normalerweise du hast keine aktiven viren und trojaner auf deinem system ;) escan sucht ja noch nach ganz anderen schädlingen , poste deswegen doch bitte mal ein S&D log . mfg |
Ne, ne, Zitat:
eScan ist eine Kaspersky-engine. Und sowohl chaosman als auch ich hatten empfohlen nach der Taladra-Infektion neu aufzusetzen. Systemveränderungen werden nicht so einfach erkannt. cacatoa |
Hallo, allerseits! Schön dass der thread lebt - da will ich auch noch meinen Senf dazugeben! Und ich schließe mich ohne Einschränkungen cacatoa und chaosman an! Bei der taladra-infektion - ist eine miese S** - bleibt leider keine andere Wahl als das neu Aufsetzen! Und das herumexperimentieren mit verschiedenen Scannern (welche zT auf der selben engine basieren) bringt niemanden weiter und kostet nur Zeit! alles Gute, stupormundi |
Zitat:
gibt genügend games die eine lizensierte 3D-engine benutzen und trotzdem überhaupt nichts (ausser eine gute optik) mit dem "original" gemeinsam haben. ich würde mich nur nicht wegen einem registry eintrag , der bisher nur von einem einzigen scanner gefunden wurde verrückt machen lassen , sondern erstmal klären ob es sich dabei überhaupt um einen aktiven trojaner handelt. (wenn er aktiv wäre hätte sich das übrigens schon an einem laufendem dienst/programm bemerkbar gemacht - ein registry eintrag alleine kann nicht gefährlich werden!). selbst wenn es sich bewahrheiten sollte (vermtlich ist der trojaner schon lange gelöscht) , würde ich als profi nur müde lächeln wenn mir jemand sagt ich müsste deswegen formatieren und mein system neuaufsetzen - soll jeder handeln wie er meint aber verloren ist bei frau elster noch garnix... @frau_elster folgende dateien bitte im abgesicherten modus auf allen lokalen festplatten suchen : "TDRSERVER.EXE " "WINDOWS32.EXE" "NTSVC.OCX " "MSWINSCK.OCX" "TDR_SUB1.DLL" falls sich nichts weiteres über den trojaner finden lassen sollte , muss frau elster maximal noch ein paar registry einträge löschen , oder ein virenscanner benutzen der mit taladra fertig wird, und das problem ist gelöst... mfg p.s. was sollen die sterne in meinem nick - @forumadmin bitte wieder ändern :daumenhoc |
Na du bist mir ja ein ganz Toller. Mischt sich in einen bestehenden Thread ein, ohne zu wissen, wie hier im board gearbeitet wird (erst mal mitlesen), und labert Dinge rum, die so nicht richtig sind. Und wenn Du glaubst, einer der Admins würde Deinen Nick wieder ändern, bist Du ebenso komplett auf dem Holzweg. EoD. cacatoa |
Oh, wie ich sehe, hat ein Admin dich erhört und den Nick wieder geändert... Wolltest Du doch, oder: Zitat:
|
Zitat:
Also, bevor ich mich mit anderen Suchprogrammen rumplage und meine Festplatten absuche und dann immer noch nicht ganz sicher sein kann, ob nicht doch noch irgendsoein gutversteckter Bösewicht in einer dunklen Ecke lauert, setze ich lieber neu auf. Better be safe than sorry. Ich hab die nächsten 2 Tage frei und genug Zeit... :o |
Gute Einstellung!:daumenhoc Sichere aber dein System tatsächlich wie in der Anleitung beschrieben vor der ersten Internetverbindung ab. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board