Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   exmodulbh ... was ist das ? (https://www.trojaner-board.de/28250-exmodulbh.html)

ScrAch 10.04.2006 21:13
exmodulbh ... was ist das ?
 
Hallo ,

Ich habe ein Problem mit einem Prozess der mein Internet lahm legt.
Diesen Prozess habe ich entdeckt als ich mal AVG AntiVirus ( mein antiviren-programm ) durchlaufen lassen hab. Er zeigte an das dieses *zweistellige zahl*exmodulbh ein Trojaner Downloader wär. Ich habe diese Dateien dann Reparieren lassen und nun werden sie nicht mehr angezeigt. Allerdings hab ich sie immernoch auf dem PC da auf einmal nach einer Zeit mein Internet langsamer wird bemerk ich das dieser Prozess immer wieder neu asugeführt wird.

1. Frage : Wie kann ich diese Prozesse von meinem Computer schmeißen ( da ich die Quelldatei noch nicht gefunden habe könnt ihr mir eventuell helfen ) ???

2. Frage : Wie kann ich verhindern das sie sich nicht erneut ausführen ( falls man sie nicht löschen kann ) ???

3. Frage : Wie kann ich vehindern das ich sie wieder bekomme !

Noch ein Hinweis : Ich finde die Datei nur immer in ( wie vom Viren Programm angezeigt ) in C:\Dokumente und Einstellungen\*mein Benutzername*\Lokale Einstellungen\Temp .

Danke im voraus für die eventuell Hilfreiche Hilfe xD ( Tolle deutche Satz das sein oder ? :crazy:

Gruß , ScrAch

Und hier das HiJackThis Log-File :
Logfile of HijackThis v1.99.1
Scan saved at 22:54:45, on 10.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\SNDVOL32.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [.nvsvc] C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3D24B04-3352-4A67-82C6-95A496155B07}: NameServer = 212.37.37.50 212.37.37.60
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

Und was passiert nun ?

irrlicht 10.04.2006 21:44
Hallo ScrAch,
erstelle ein HijackThis und poste das Log hier.
Download und Anleitung :
http://www.trojaner-board.de/showthread.php?t=17493
Achte auf die Hinweise,wie zu posten ist(editieren)
Irrlicht

ScrAch 10.04.2006 21:46
Bevor ich das jetzt mache ... eine Frage : Was ist ein HiJack ?? :crazy:

Trtzdem Danke

MightyMarc 10.04.2006 21:49
Ich spiele mal Orakel und sage einen Backdoor voraus(kann grad die beiden dazu gehörenden Threads nicht finden). Irgendwas mit Backdoor.Win32.IRCBot schwirrt mir im Kopf rum.

@scarch

to highjack bedeutet entführen

ScrAch 10.04.2006 21:51
Ich glaube sowas ähnliches hatte ich schonmal ( danach war windows weg und musste neu installiert werden ) AU WEIA

MightyMarc 10.04.2006 21:52
Erstelle bitte erstmal das HJT-Log gemäss der von irrlicht verlinkten Anleitung.

Wildone 10.04.2006 21:53
Hallo,
auch das steht in der verlinkten Anletung, wenn man sie nur die Arbeit machen würde sie zu lesen.

P.S.
getränkt schreibt man mit ä. ;)

Edit
Tach MM :party:

Grüße Wildone

ScrAch 10.04.2006 22:00
1. HJT-Log erstellt !

2. gelsen hab ich hab aber net mehr so viel zeit xD

3. ich weiß aber ich hab das erstens grad schnell in 2 mins eben alles hingeschrieben weil ich das heute noch schaffen wollte mit anmelden posten etc. ;) ( falls das net reicht meine 2. ausrede : tastatur im ***** ) ^^

4. DANKE DANKE DANKE FÜR EURE HILFE ^^

MightyMarc 10.04.2006 22:04
Edited
hab das Log im ersten Posting glatt übersehen.

@scarch

Lasse folgende Datei bitte mal bei jotti prüfen:

C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\smss.exe



P.S.:

Nabend Wildone :party:

ScrAch 10.04.2006 22:06
???? ich dachte das hjt-log ist das was ich oben in meiner ersten message editiert hab ???? egal hier halt nochmal : Logfile of HijackThis v1.99.1
Scan saved at 22:54:45, on 10.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\avmclient\avmbtservice.exe
C:\Programme\avmclient\panapp.exe
C:\Programme\avmclient\AvmObexService.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe
C:\Programme\avmclient\bluefritz.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\avmclient\AvmObex.exe
C:\Programme\D-Tools\daemon.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\WINDOWS\system\smss.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\SNDVOL32.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\taskmgr.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [AVMBlueClient] C:\Programme\avmclient\bluefritz.exe
O4 - HKLM\..\Run: [AVMBLUEOBEX] C:\Programme\avmclient\AvmObex.exe -pushclient -ftpclient
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [.nvsvc] C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\smss.exe /w
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{B3D24B04-3352-4A67-82C6-95A496155B07}: NameServer = 212.37.37.50 212.37.37.60
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe
O23 - Service: AVM BT Connection Service - AVM Berlin - C:\Programme\avmclient\avmbtservice.exe
O23 - Service: AVM BT PAN Service - AVM Berlin - C:\Programme\avmclient\panapp.exe
O23 - Service: AVM BT OBEX Service (AvmObexService) - AVM Berlin - C:\Programme\avmclient\AvmObexService.exe
O23 - Service: Windows Log - Unknown owner - C:\WINDOWS\system32\nvsvcd.exe

so zufrieden ? ^^ und was nun ?

irrlicht 10.04.2006 22:06
erledigt,hat`s ja mit dem Editieren doch noch hinbekommen.

ScrAch 10.04.2006 22:09
entschuldigung tut mir wirklich leid hab ich ganz vergessen :heulen:

ScrAch 10.04.2006 22:11
zitat:
"@scarch

Lasse folgende Datei bitte mal bei jotti prüfen:

C:\Dokumente und Einstellungen\Jens\Anwendungsdaten\smss.exe"



ok wird gemacht sir ! :snyper:

ScrAch 10.04.2006 22:17
so das war das ergebnis von jotti :

Datei: smss.exe
Auslastung:
0% 100%
Status:
INFIZIERT/MALWARE
Entdeckte Packprogramme:
UPX

AntiVir
Keine Viren gefunden
ArcaVir
Keine Viren gefunden
Avast
Keine Viren gefunden
AVG Antivirus
Keine Viren gefunden
BitDefender
Keine Viren gefunden
ClamAV
Keine Viren gefunden
Dr.Web
DLOADER.Trojan gefunden (mögliche Variante)
F-Prot Antivirus
Keine Viren gefunden
Fortinet
Keine Viren gefunden
Kaspersky Anti-Virus
Keine Viren gefunden
NOD32
a variant of Win32/Agent.TV gefunden
Norman Virus Control
Keine Viren gefunden
UNA
Keine Viren gefunden
VirusBuster
Keine Viren gefunden
VBA32
Malware.Agent.52 (paranoid heuristics) gefunden (mögliche Variante)

ScrAch 10.04.2006 22:18
was muss ich jetzt machen ? einfach löschen oda wie ?

MightyMarc 10.04.2006 22:22
Zitat:
Zitat von ScrAch
was muss ich jetzt machen ?
So und jetzt machst Du einen Scan mit eScan nachdem Du folgende Anleitung vollständig gelesen hast (Scan dauert etwa 1-3 Stunden). Ergebnis der find.bat hier posten.

ScrAch 10.04.2006 22:23
ok thx

dann bis in 1-3 stunden :sleepy:

ScrAch 10.04.2006 22:33
schon gefunden ( den link zum download ) :p

dartus 10.04.2006 22:47
Hallo ScrAch,

"Escan" kannst Du Dir sparen, der ist in Deinem System aktiv:
http://www.sophos.de/virusinfo/analy...jircbotfp.html

Bei einem Trojaner mit Backdoor-Funktionaltität ist dringend eine Neuinstallation anzuraten.

http://www.mathematik.uni-marburg.de...c-removal.html
http://www.mathematik.uni-marburg.de...ompromise.html
http://en.wikipedia.org/wiki/Backdoor
http://de.wikipedia.org/wiki/Botnet

Empfohlene Anleitung zur Neuinstallation:
http://www.trojaner-board.de/showthread.php?t=12154

Thema Datensicherung
http://www.trojaner-board.de/showpos...8&postcount=11

dartus

MightyMarc 10.04.2006 22:57
Hmmm, ich werde mich auf dem Arbeitsmarkt als Orakel präsentieren.

dartus 10.04.2006 23:18
Hallo Orakel!

dartus

ScrAch 10.04.2006 23:27
also wie jetzt ? windows neu installieren ?

dartus 10.04.2006 23:29
Hallo ScrAch,

JA!

Beachte meinen Link zur Neuinstallation.

dartus

@MightyMarc :)

MightyMarc 10.04.2006 23:29
Unter Beachtung dieser Anleitung Windows neu installieren. Du kannst Windows natürlich auch einfach so drauf knallen,aber dann werden wir uns hier schneller wiedersehen als D(/M)ir lieb ist.

Edit:

Nen Sprinterpreis werde ich wohl nicht einheimsen...

ScrAch 10.04.2006 23:31
och ne xD
ich hasse windows neu installation hab soviele progs aufm pc die muss ich mir ersmal alle wieder neu besorgen bzw. cd's suchen


Alle Zeitangaben in WEZ +1. Es ist jetzt 04:40 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55