Trojaner-Board - Hilfe!!! 8exmodulao, 31exmodulao, 37exmodulao

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Hilfe!!! 8exmodulao, 31exmodulao, 37exmodulao (https://www.trojaner-board.de/27328-hilfe-8exmodulao-31exmodulao-37exmodulao.html)

Hilfe!!! 8exmodulao, 31exmodulao, 37exmodulao

1. Hab ein Virus Trojaner oder anders auf meinem PC :heulen: :confused: !

2. Die Datei erneurt sich immer und nehnt sich immer anders "8exmodulao, 31exmodulao, 37exmodulao, 49exmodulao, 52exmodulao, 58exmodulao, 76exmodulao, 80exmodulao, 93exmodulao, 98exmodulao" also halt XXexmodulao.

3. Das Ding startet also unter einen anderen Namen immer und es lässt den Prozessor auf 100% hochlaufen.

4. Hab es schon probiert zu entfernen mit "eTrust EZ Armor, eTrust PestPatrol, BitDefender Free Edition und Security Task Manager" habs aber ent geschaft!

Bitte HIIIIIIIIIIIIIIIIIIIIIILLLLLLLLLLLLLLLLLLLLLLLLLFFFFFFFFFFFFFFFFFFFFEEEEEEEE

@trainmen
Überprüfe bitte für Anfang deine Tastatur, insbesondere die Tasten I, L, F und E.
Danach, wenn die Einstellungen deiner Tastatur stimmen, besuche bitte diese Seite, erstelle HJT-Log und lasse ihn ebd. automatisch auswerten. Was mit ? oder ! markiert wird, bitte kopieren und hier posten.

:kloppen: :kloppen: :kloppen:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 03:58:15, on 05.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe
D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe
D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe
D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\svchost.exe
D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
C:\WINDOWS\system32\cisvc.exe
D:\Programme\HLSW\hlsw.exe
C:\WINDOWS\System32\snmp.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\mqsvc.exe
C:\WINDOWS\system32\mqtgsvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
c:\progra~1\softwin\bitdef~1\bdmcon.exe
C:\WINDOWS\system32\inetsrv\inetinfo.exe
C:\Programme\Outlook Express\msimn.exe
C:\WINDOWS\system32\cidaemon.exe
D:\Programme\Valve\Steam\Steam.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\Downloads\HijackThis.exe
C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\31exmodulao.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] D:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [BearShare] "D:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [eTrustPPAP] "D:\Programme\CA\eTrust PestPatrol\PPActiveDetection.exe"
O4 - HKLM\..\Run: [CaAvTray] "D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVTray.exe"
O4 - HKLM\..\Run: [CAVRID] "D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\CAVRID.exe"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
O4 - HKLM\..\Run: [iTunesHelper] "D:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] "d:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: HLSW.lnk = D:\Programme\HLSW\hlsw.exe
O4 - Startup: Teamspeak 2 RC2.lnk = D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-30.cab
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: CAISafe - Computer Associates International, Inc. - D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\ISafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
O23 - Service: StyleXPService - Unknown owner - C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
O23 - Service: VET Message Service (VETMSGNT) - Computer Associates International, Inc. - D:\Programme\CA\eTrust EZ Armor\eTrust EZ Antivirus\VetMsg.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

:kloppen: :kloppen: :kloppen:

BitDefender zeigt mir als Virus oder so den Namen an "Generic.Malware.SMY.12E4573B". Hat einer ne Idee was ich machen kann?

@trainmen
Ich habe gehofft, dass du mindestens richtig lesen :) kannst. Wo in meinem Beitrag stand, dass ich den gesamten HJT-Log sehen möchte? :headbang:

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\31exmodulao.exe
Unbekannt Laufender Prozess. (31exmodulao.exe)

Dies ist ein unbekannter Prozess.

:dummguck:

O4 - HKLM\..\Run: [.nvsvc] C:\WINDOWS\system\smss.exe /w
Unbekannt
Trefferquote: 9 % (Resultate)
Nicht bekanntes Programm.

:dummguck:

04 - Startup: HLSW.lnk = D:\Programme\HLSW\hlsw.exe
Unbekannt
Trefferquote: 7 % (Resultate)
Nicht bekanntes Programm

:dummguck:

O4 - Startup: Teamspeak 2 RC2.lnk = D:\Programme\Teamspeak2_RC2\TeamSpeak.exe
Unbekannt
Trefferquote: 7 % (Resultate)
Nicht bekanntes Programm.

:dummguck:

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
Unnötig Der Eintrag wurde als Gut erkannt.
Wenn der Eintrag '' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

:dummguck:

O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
Unnötig Der Eintrag Sun Java Konsole wurde als Gut erkannt.
Wenn der Eintrag 'Sun Java Konsole ' nicht mehr benötigt wird, sollte er trotzdem gefixt werden.
Unnötiger (unwirksamer) Eintrag der entfernt werden kann!

:dummguck:

O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe
Unbekannt Diese Einträge zeigen alle, nicht von Microsoft stammenden, Systemdienste. Malware startet oft als Systemdienst und man erkennt sie schwerer. Unbekannte Einträge sollten genauer überprüft werden.
Unbekannter Dienst. (nvsvcd.exe)

@trainmen
Na geht doch :daumenhoc

Zitat:

C:\DOKUME~1\CHRIST~1\LOKALE~1\Temp\31exmodulao.exe

Arbeite bitte die Seite durch.

Zitat:

C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\nvsvcd.exe

Die Dateien hier überprüfen.

Das erste hab ich gmeacht mal sehen ob es was gebrach that

********************************************

Ich probier die dinger mit AntiVirus zu esolieren!

Zu überprüfende Datei: smss.exe Infiziert:

smss.exe Infiziert: Backdoor.Win32.IRCBot.nw

Zu überprüfende Datei: nvsvcd.exe Infiziert:

nvsvcd.exe Infiziert: Backdoor.Win32.IRCBot.nw

thx for help scho mal ;) :daumenhoc

@trainmen

Zitat:

Zu überprüfende Datei: smss.exe Infiziert:
smss.exe Infiziert: Backdoor.Win32.IRCBot.nw
Zu überprüfende Datei: nvsvcd.exe Infiziert:
nvsvcd.exe Infiziert: Backdoor.Win32.IRCBot.nw

Bei einem Backdoor empfielt sich, das System ASAP neu aufzuspielen. Anleitung s. Link in meiner Signatur. Es ist zu gefährlich mit dem aktiven Backodor im Internet zu bleiben, sorry :(

Was ist das "System ASAP"? :dummguck:

Hallo,

habe aufmerksam die bisherigen Einträge gelesen, da ich auch mit diesen ,,exmodulap" zu kämpfen hab.

Mein HJT-log habe ich auswerten lassen und ,,nur" die beiden folgenden zu beanstanden Punkte gefunden:

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Programme\Gemeinsame Dateien\Panda Software\PavShld\pavprsrv.exe (file missing) Unnötig
Unnötig

Dieses verzeichnis habe ich bereits gelöscht, dennoch kommt der Eintrag wieder.

O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing) Unnötig

Auf der Seite von Kapersky habe ich die (berühmten) Dateien SMSS.EXE und NSSVCD.EXE testen lassen.

Ergebnis:

Zu überprüfende Datei: smss.exe
smss.exe Ok

Zu überprüfende Datei: nvsvcd.exe Infiziert:
nvsvcd.exe Infiziert: Backdoor.Win32.IRCBot.nw

Nun habe ich diese Datei nochmals checken lassen und folgendes Ergebnis erhalten:

Datei: nvsvcd.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE (Anmerkung: diese Datei wurde bereits vorher gescannt. Die Scanergebnisse werden daher nicht in der Datenbank gespeichert.)
Entdeckte Packprogramme:
-

AntiVir Worm/IRCBot.NW.88 gefunden
ArcaVir Keine Viren gefunden
Avast Keine Viren gefunden
AVG Antivirus Keine Viren gefunden
BitDefender Keine Viren gefunden
ClamAV Keine Viren gefunden
Dr.Web BackDoor.IRC.Gym gefunden
F-Prot Antivirus Keine Viren gefunden
Fortinet Keine Viren gefunden
Kaspersky Anti-Virus Backdoor.Win32.IRCBot.nw gefunden
NOD32 Win32/Agent.TV gefunden
Norman Virus Control W32/Ircbot.ABZ gefunden
UNA Keine Viren gefunden
VirusBuster Keine Viren gefunden
VBA32 Trojan.Win32.Agent.TV gefunden

Was mache ich jetzt bitte ?

Danke.

Die Datei heisst jetzt bei mir auch 56exmodulap. Es muss ja ne Datei geben aus der Datei er sich immer erneuert. Ich glaub er meinte das Betribessystem neuinstallieren. Und ich hab das doch er st vor ein paar Tagen neu gemacht :/ .

@trainmen

Zitat:

Was ist das "System ASAP"?

ASAP„As Soon As Possible" = „So schnell wie möglich“ ;)