Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   edlm2.exe (https://www.trojaner-board.de/28750-edlm2-exe.html)

Jaques Schulze 24.04.2006 15:06
edlm2.exe
 
Ich habe seit einigen Tagen folgende Trojanermeldung von meinem Anti-Virenprogramm (avast):

Dateiname: C:\windows\system32\edlm2.exe

Mailware Name: WIN32:Mitglieder-CN [rj]

VPS Version: 0616, 21.04.2006

Avast empfiehlt "In den Container verschieben"
Wenn ich das mache, dann kommt die Meldung irgendwann wieder (ca. 1-2 Stunden später).
Die wenigen Beiträge in den Foren zu diesem Trojaner habe ich gelesen und bin trotzdem sehr ahnungslos, da ich da nicht viel von PC verstehe. Weder weiß ich was eine HiJackThis Log-File, noch was eScan-Virus Log Information ist oder wie ich dazu komme.
Da ich erst vor wenigen Wochen den kompletten Rechner neu installiert habe, aufgrund von Aufrüsten, möchte ich das nicht schon wieder tun. Es wäre ein sehr grosser Aufwand, da sich viele Sachen darauf befinden.
Gibt es eine Möglichkeit dieses Problem ohne Neuinstallation zu beheben?

Die Meldung tritt unregelmäßig auf. Das heißt er ist keiner bestimmten Aktion, die ich auf dem Rechner mache zuzuordnen. Was mir auffällt ist, dass der PC langsamer in manchen Situationen geworden ist, dann aber wieder normal läuft. Das bemerke ich beim Öffnen vom Arbeitsplatz, Internet-Explorer usw.
Ausserdem kann ich das Bestehen des Trojaners keiner bestimmten Aktion zuordnen. Ich habe ein Windows-Update, eine Programm-Installation gefahren und mehere Videos von einer Hompage heruntergeladen. Danach neu gestartet und "Hallo hier bin ich".

Solltet Ihr mir irgendwie helfen können wäre ich sehr dankbar. Bei Fragen und Anweisungen bitte sich sehr einfach formulieren oder erklären. Mein Wissensschatz ist in diesem Bereich begrenzt.

Danke Jaques Schulze

chaosman 24.04.2006 16:21
Hallo Jaques Schulze,
poste doch bitte ein HJT logfile

chaosman

nochdigger 24.04.2006 16:26
mOIn Jaques Schulze,
nu ma ganz ruhig damit dir geholfen werden kann solltest du das hier :
http://www.trojaner-board.de/showthread.php?t=17493
ganz genau lesen und in ruhe abarbeiten, die Spezies hier brauchen einfach mehr Infos.
Bitte denke dran persönliche Einträge sowie Links zu editieren
MFG aus HH
edit warum bin eigentlich immer so spät dran ?? edit

Jaques Schulze 24.04.2006 20:27
So, ich habe die Logfile erstellt:

Logfile of HijackThis v1.99.1
Scan saved at 21:11:36, on 24.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\ArcorOnline\Arcor.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\eMule\emule.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{28388572-E6FF-481A-BC59-6708A6A129CF}: NameServer = 195.50.140.250 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{28388572-E6FF-481A-BC59-6708A6A129CF}: NameServer = 195.50.140.250 195.50.140.114
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

cosinus 24.04.2006 20:59
Zitat:
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
Sieht nach dem Trojaner Bagle aus.
Versuch mal mit Killbox die Datei C:\WINDOWS\SYSTEM32\ldr64.dll löschen zu lassen, also beim nächsten Systemstart. Wenn Windows neu gestartet ist den o.g. Eintrag mit Hijackthis fixen. Erstelle dann ein neues Logfile und poste es.

Jaques Schulze 24.04.2006 21:17
Zitat:
Zitat von cosinus
Sieht nach dem Trojaner Bagle aus.
Versuch mal mit Killbox die Datei C:\WINDOWS\SYSTEM32\ldr64.dll löschen zu lassen, also beim nächsten Systemstart. Wenn Windows neu gestartet ist den o.g. Eintrag mit Hijackthis fixen. Erstelle dann ein neues Logfile und poste es.
Nur zum richtigen Verständnis:
1 - mit killbox die Datei C:\WINDOWS\SYSTEM32\ldr64.dll löschen (habe ich verstanden - Datei auswählen - delete on reboot)
2 - neu starten
3 - wie fixe ich mit hijackthis die Datei?

MightyMarc 24.04.2006 21:22
Zitat:
Zitat von Jaques Schulze
Nur zum richtigen Verständnis:
1 - mit killbox die Datei C:\WINDOWS\SYSTEM32\ldr64.dll löschen (habe ich verstanden - Datei auswählen - delete on reboot)
2 - neu starten
1. ja
2. ja
Zitat:
3 - wie fixe ich mit hijackthis die Datei?
In HJT das Häckchen vor dem Eintrag setzen und dann auf "fix checked" klicken.

cosinus 24.04.2006 21:23
1.) HJT starten.
2.) Auf "Do a system scan only" klicken.
3.) Den zu fixenden Eintrag mit einem Häkchen davor markieren.
4.) Unten auf "Fix checked" klicken.

Den Eintrag den Du fixen sollst mit HJT:
Zitat:
O20 - Winlogon Notify: ldr64 - C:\WINDOWS\SYSTEM32\ldr64.dll
<edit>Oh, der Marc war schneller ;) </edit>

Jaques Schulze 24.04.2006 21:37
Ich habe die Schritte ausgeführt. Hier die neue Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 22:36:19, on 24.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRA~1\HotKeys\Ikeymain.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,First Home Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.arcor.de/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [iKeyWorks] C:\PROGRA~1\HotKeys\Ikeymain.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [PSDrvCheck] C:\WINDOWS\system32\PSDrvCheck.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{28388572-E6FF-481A-BC59-6708A6A129CF}: NameServer = 195.50.140.250 195.50.140.114
O17 - HKLM\System\CS1\Services\Tcpip\..\{28388572-E6FF-481A-BC59-6708A6A129CF}: NameServer = 195.50.140.250 195.50.140.114
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\Programme\Common\Database\bin\fbserver.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: UPnPService - Unknown owner - C:\Programme\Gemeinsame Dateien\MAGIX Shared\UPnPService\UPnPService.exe

MightyMarc 24.04.2006 21:40
@Jaques Schulze

Existiert die edlm2.exe noch?

Jaques Schulze 24.04.2006 21:43
Ja, sie existiert noch.

cosinus 24.04.2006 21:53
Lösch die Datei, notfalls mit Killbox.

MightyMarc 24.04.2006 22:50
Zitat:
Zitat von cosinus
Lösch die Datei, notfalls mit Killbox.
Jein. erstelle ersteinmal ein neues HJT-Log und schaue nach, ob dort ein O20-Eintrag zu finden ist (sollte so sein). Schaue nach, ob die dort genannte Datei (wieder) existent ist. Wenn ja, dann trage bei killbox die erste Datei ein (delete on reboot). Roten Kreis mit weißem Kreuz klicken und die Frage verneinen. Nächste Datei hinzufügen und diesmal den Neustart bestätigen.

Neues HJT-Log erstellen und posten.

Jaques Schulze 25.04.2006 05:15
Zitat:
Zitat von MightyMarc
Jein. erstelle ersteinmal ein neues HJT-Log und schaue nach, ob dort ein O20-Eintrag zu finden ist (sollte so sein). Schaue nach, ob die dort genannte Datei (wieder) existent ist. Wenn ja, dann trage bei killbox die erste Datei ein (delete on reboot). Roten Kreis mit weißem Kreuz klicken und die Frage verneinen. Nächste Datei hinzufügen und diesmal den Neustart bestätigen.

Neues HJT-Log erstellen und posten.
Habe die edlm2.exe nicht gelöscht und in der Logfile von heute morgen ist kein O20-Eintrag vorhanden. Sonst habe ich keine Schritte weiter unternommen. Ich habe gestern beim ersten Löschen von Idr64.dll mit killbox die Frage mit "ja" beantwortet.

MightyMarc 25.04.2006 08:29
Zitat:
Zitat von Jaques Schulze
Habe die edlm2.exe nicht gelöscht...
Du möchtest sie aber löschen ;)

Jaques Schulze 25.04.2006 14:34
Datei edlm2.exe wurde vor 2,5 Stunden gelöscht. Windows wurde von mir danach direkt neu gestartet. Bislang hat sich Avast noch nicht gemeldet und im Ordner C:\windows\system32 ist die Datei auch noch nicht wieder aufgetaucht.

Wenn das so bleibt, würde ich sagen, dass das Problem gelöst ist.

Ich bin Euch für Eure Hilfe sehr dankbar und hoffe diese in Zukunft nicht noch einmal zu brauchen.

Trojanerbefreiter Jaques Schulze

roman2k 02.05.2006 17:11
Hi,

hab mir "glücklicherweise" auch eins von den Viechern eingeheimst.
Habe nun mit Hjackthis eine Log-File erstellt, kenne mich leider aber nicht mit den ganzen Bezeichnungen aus. Ich hoffe ihr könnte mir weiterhelfen:

Logfile of HijackThis v1.99.1
Scan saved at 07:18:18, on 02.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
H:\WINDOWS\System32\smss.exe
H:\WINDOWS\system32\winlogon.exe
H:\WINDOWS\system32\services.exe
H:\WINDOWS\system32\lsass.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\System32\svchost.exe
H:\WINDOWS\system32\spoolsv.exe
H:\WINDOWS\system32\drivers\KodakCCS.exe
H:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
H:\WINDOWS\system32\oodag.exe
H:\Programme\Photodex\CompuPicPro\ScsiAccess.exe
H:\WINDOWS\system32\svchost.exe
H:\WINDOWS\Explorer.EXE
H:\Programme\Microsoft Hardware\Mouse\point32.exe
H:\WINDOWS\mHotkey.exe
H:\WINDOWS\Mixer.exe
H:\WINDOWS\SOUNDMAN.EXE
H:\Programme\D-Link\Air USB Utility\AirCFG.exe
H:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
H:\Programme\iTunes\iTunesHelper.exe
H:\Programme\QuickTime\qttask.exe
H:\Programme\iPod\bin\iPodService.exe
H:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe
H:\WINDOWS\system32\ctfmon.exe
H:\Programme\Messenger\msmsgs.exe
H:\Fabian\Archive\utorrent-1.4.2-beta-build-433.exe
H:\Programme\WiFiConnector\NintendoWFCReg.exe
H:\Programme\Rainlendar\Rainlendar.exe
H:\WINDOWS\system32\taskmgr.exe
H:\Programme\Ahead\Nero\nero.exe
H:\WINDOWS\system32\imapi.exe
H:\Programme\Mozilla Firefox\firefox.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\dwwin.exe
H:\WINDOWS\system32\dwwin.exe
H:\WINDOWS\system32\dwwin.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\dwwin.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\dwwin.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\dwwin.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\dwwin.exe
H:\WINDOWS\system32\dwwin.exe
H:\WINDOWS\system32\edlm2.exe
H:\WINDOWS\system32\dwwin.exe
H:\WINDOWS\system32\dwwin.exe
H:\Programme\Mozilla Firefox\extensions\talkback@mozilla.org\components\talkback.exe
H:\WINDOWS\system32\dwwin.exe
H:\Programme\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - H:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - H:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: NTIECatcher Class - {C56CB6B0-0D96-11D6-8C65-B2868B609932} - H:\Programme\Xi\NetTransport 2\NTIEHelper.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - H:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - H:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM\..\Run: [POINTER] point32.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [D-Link Air USB Utility] H:\Programme\D-Link\Air USB Utility\AirCFG.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] H:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [iTunesHelper] "H:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "H:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] H:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [CaISSDT] "H:\Programme\CA\eTrust Internet Security Suite\caissdt.exe"
O4 - HKLM\..\Run: [eTrustPPAP] "H:\Programme\CA\eTrust Internet Security Suite\eTrust PestPatrol Anti-Spyware\PPActiveDetection.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] H:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "H:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [µTorrent] "H:\Fabian\Archive\utorrent-1.4.2-beta-build-433.exe"
O4 - Startup: FAH.lnk = ?
O4 - Startup: Rainlendar.lnk = H:\Programme\Rainlendar\Rainlendar.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = H:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = H:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = H:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Registrierungsprogramm ausführen.lnk = H:\Programme\WiFiConnector\NintendoWFCReg.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://H:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Alles mit FlashGet laden - E:\Fabian\FlashGet\jc_all.htm
O8 - Extra context menu item: Alles mit Net Transport herunterladen - H:\Programme\Xi\NetTransport 2\NTAddList.html
O8 - Extra context menu item: Mit FlashGet laden - E:\Fabian\FlashGet\jc_link.htm
O8 - Extra context menu item: Mit Net Transport herunterladen - H:\Programme\Xi\NetTransport 2\NTAddLink.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://H:\PROGRA~1\MICROS~3\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Sothink SWF Catcher - H:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - H:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - H:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - H:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Fabian\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: &FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - E:\Fabian\FlashGet\flashget.exe
O9 - Extra button: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - H:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra 'Tools' menuitem: Sothink SWF Catcher - {E19ADC6E-3909-43E4-9A89-B7B676377EE3} - H:\Programme\Gemeinsame Dateien\SourceTec\SWF Catcher\InternetExplorer.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - H:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O20 - Winlogon Notify: ldr64 - H:\WINDOWS\SYSTEM32\ldr64.dll
O20 - Winlogon Notify: MacDrive-iTunes compatibility - H:\Programme\Gemeinsame Dateien\Mediafour\MacDriveiTunesPatch.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - H:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - H:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - H:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: O&O Defrag - O&O Software GmbH - H:\WINDOWS\system32\oodag.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - H:\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - H:\Programme\SiSoftware\SiSoftware Sandra Professional 2005\RpcSandraSrv.exe
O23 - Service: ScsiAccess - Unknown owner - H:\Programme\Photodex\CompuPicPro\ScsiAccess.exe


Alle Zeitangaben in WEZ +1. Es ist jetzt 23:05 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131