Trojaner-Board - Trojaner/Virus tarnt sich als Windowsdatein

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner/Virus tarnt sich als Windowsdatein (https://www.trojaner-board.de/29367-trojaner-virus-tarnt-windowsdatein.html)

Trojaner/Virus tarnt sich als Windowsdatein

Hallo

Ich habe jetzt so langsam alles probiert und finde nichts was mir hilft.

Das Problem ist das laufend Systemprozesse gestartet werden die im Taskmanager angezeigt werden aber keine Cpu-Last erzeugt. zb rundll32.exe, spool.exe oder ENCWCSVR.exe. Man kann den Prozess beenden dann kommt nach kurzer Zeit ein anderer dazu usw.
Es werden laufend in meinem Windowsverzeichnis neue Ordner erstellt wo ich dann diese Dateien finden kann und sie lösche, aber es kommt einfach wieder was neues dazu. zb Ordner wie Microsoft, System32 oder AppPatch. Diese Ordner wurden auch schon willkürlich in meine Eigenen Dateien angelegt.

Ich weiß das diese Ordner und Dateien vorhanden sein müssen, aber nicht doppelt. Ich merke zwar nicht das da was mit meinem Rechner nicht stimmt, aber irgendwo her muss das ja kommen.

Ich habe bis jetzt mal Adaware, Hjt (war laut Autoauswertung clean), Bitdefender, Trendmicro onlinescan, Panda onlinescan, Security Taskmanger laufen lassen und finde ausser mit Bitdefender nichts. Siw zeigt auch nichts außergewöhnliches an was ungefragt ins Netz gehen will.

Bitdefender gibt an Exploit.Html.Codebase.Exec.Gen, dies habe ich damit schon gelöscht, aber es ist ja anscheinend noch da. Dies scheint aber ein gängiger Fehlalarm zu sein, laut Google.

Sehr komisch ist auch das manchmal ein Internet Explorer Pop up kommt, obwohl ich Firefox nutze. Wie kann so was sein?

Ich nutze Win Xp Sp2 (alle updates), Firefox ohne Scripte und eine Router, falls das was hilft.

Ich hoffe mal das es das Prob ausreichend beschreibt und ihr mir helfen könnt.

Mfg

Manuel

Hallo Brewmaster,
gehen wir erst mal die Standardsachen durch.
Erstelle ein HijackThis-Log nach dieser Anleitung :
http://www.trojaner-board.de/showthread.php?t=17493
danach machst du einen EScan nach dieser Anleitung :
http://www.trojaner-board.de/showthread.php?t=17492
Beachte bitte beide Anleitungen genau,sonst funktionieren sie nicht richtig und du bekommst:kloppen: und :zzwhip:
:)
Irrlicht

Logfile of HijackThis v1.99.1
Scan saved at 20:12:06, on 20.05.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINDOWS\system32\oodag.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\T-Online\DSL-Manager\TODslMgr.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
C:\Programme\Thunderbird-Tray\TBTray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Programme\Softwin\BitDefender8\bdnagent.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\Programme\Softwin\BitDefender8\vsserv.exe
c:\programme\softwin\bitdefender8\bdmcon.exe
D:\eDonkey2000\edonkey2000.exe
C:\Programme\Security Task Manager\Security.Task.Manger 1.6f.Multilanguage\SpyProtector.exe
C:\Programme\Winamp\Winamp.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = eumex.ip
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\ENCWCBAR.DLL
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe"
O4 - Global Startup: TB-Tray.lnk = C:\Programme\Thunderbird-Tray\TBTray.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all by Free Download Manager - file://C:\Programme\Free Download Manager\dlall.htm
O8 - Extra context menu item: Download by Free Download Manager - file://C:\Programme\Free Download Manager\dllink.htm
O8 - Extra context menu item: Download selected by Free Download Manager - file://C:\Programme\Free Download Manager\dlselected.htm
O8 - Extra context menu item: Download web site by Free Download Manager - file://C:\Programme\Free Download Manager\dlpage.htm
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)
O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\spacklsp.dll
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.bitdefender.de/scan8/oscan8.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Unknown owner - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe (file missing)
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: T-Online DSL-Manager (TODslService) - T-Systems International GmbH - C:\Programme\T-Online\DSL-Manager\TODslSvc.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems International - C:\Programme\T-DSL SpeedManager\TSMSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: BitDefender Virus Shield (VSSERV) - Unknown owner - C:\Programme\Softwin\BitDefender8\vsserv.exe" /service (file missing)
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

Ich hoffe das ist so richtig ;)

Den Scan mach ich mal gleich.

Worüber wunderst Du Dich:
D:\eDonkey2000\edonkey2000.exe

Das Logfile ist sauber - vielleicht wurden bereits Systemdateien manipuliert - evtl. ein Trojaner mit Rootkit-Technik.

Wenn eScan nichts findet (poste aber doch nach Anleitung das Logfile),
dann kannst du dein System noch mit Blacklight(Ersatzlink) und Rootkit Revealer scannen.

mfg,
Markus

Datei C:\PROGRAMME\SOFTWIN\BITDEFENDER8\REGSPY.SYS markiert als not-a-virus:Monitor.Win32.PCAcme.61. Keine Aktion vorgenommen.
Object "lop.com Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\0J8ZK1O1\!update-3700[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\KHU1OR6Z\popsend[1].htm infiziert von "Exploit.HTML.CodeBaseExec" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\KNCJ2V2B\ABoxInst_int14[1].exe infiziert von "Trojan-Downloader.Win32.VB.ft" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\ADMINI~1\LOKALE~1\TEMPOR~1\Content.IE5\WTAZM1EX\!update-3800[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\0J8ZK1O1\!update-3700[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KHU1OR6Z\popsend[1].htm infiziert von "Exploit.HTML.CodeBaseExec" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KNCJ2V2B\ABoxInst_int14[1].exe infiziert von "Trojan-Downloader.Win32.VB.ft" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\WTAZM1EX\!update-3800[1].0000 infiziert von "Trojan-Downloader.Win32.PurityScan.cl" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

Das findet der eScan, hmmmmm nicht schlecht, für das das vorher quasi nix gefunden wurde.

So bekommt man das noch weg, oder hilft da nix mehr außer Neuinstallieren?

Hallo Brewmaster,
du benötigst folgende Programme,die du dir über Google suchst und sie von den Originalseiten installierst.
Spybot Search & Destroy- Ewido Security Suite-AdAware Personal(hast du aber schon glaube ich)-Regseeker-Clear Prog 1.4.1 final
Alle fünf installieren ,aber noch nichts laufen lassen.
Spybot,Ewido und Adaware updaten !
Deaktiviere die Systemwiederherstellung (Google weiß wie) und gehe in den abgesicherten Modus (F8 drücken beim Start).
Die drei Programme nacheinander starten und Fullscan machen lassen(Reihenfolge egal) Lösche alles was gefunden wird.
Zurück in den Normalmodus,Systemwiederherstellung kann aktiviert werden.
Regseeker aufrufen,Sprache(Laguages) einstellen,"Registrierung säubern" wählen,darauf achten das unten links der Haken bei"Sicherung vor löschen" drin ist,lösche was gefunden wird,so oft bis nix mehr angezeigt wird.
Clear Prog aufrufen,alle Haken setzen,laufen lassen und löschen was gefunden wird.
Nun sollte Ruhe sein.
Bei Ewido noch den "Guard/Wächter abschalten,gibt sonst Probleme mit deinem AV-Proggi.
Das hier :C:\PROGRA~1\Lavasoft\AD-AWA~1\Ad-Watch.exe
und Bitdefender dürften sich auch nicht so gut verstehen.Entscheide dich für ein AV-Programm.Zwei Scanner sind nicht doppelt gut,meißtens vertragen sie sich nicht und es gibt Probleme bis zum Absturz.
Irrlicht