|
HILFE ! Hab ziemlich sicher einen Trojaner Hallo erstmal... Und zwar habe ich dauernd in c:/Programme/ eine EXE Datei die sich nach jedem Neustart neu erstellt, der Name der Datei ist immer anders und ergibt keinen Sinn cDzsT.exe zB., die größe der datei variiert von 80-200 kb. Im taskmanager ist die Datei nur kurz nach Neustart geführt, und zwar ist dann immer nur der letzte Name des Programmes, den es bei letztem Neustart hatte für max 30 Sekunden gelistet, dann verwindet es ganz aus dem Task Manager und die Datei erstellt sich mit einen neuen Namen im Progammordner. Die Datei kann weder gelöscht, ausgeschnitten, noch kopiert noch in einem Text editor geöffnet werden, da immer die Medlung kommt das Sie vom System derzeit benötigt wird. Im RegEdit Modus finde ich nichts, bei MS Config ist alles aus, Amok Delay brachte keine Abhilfe, AntVir fand nichts und ADAware auch nicht etc. evtl. hat wer eine Idee was ich machen könnte um das zu fixen. Danke im Voraus |
Poste mal ein Hijackthsi-Logfile. Beachte dabei die in meiner Signatur verlinkte Anleitung! Gruß :daumenhoc Yopie |
Logfile of HijackThis v1.99.1 Scan saved at 00:51:56, on 09.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Outlook Express\msimn.exe C:\Dokumente und Einstellungen\XXXXX\Eigene Dateien\hijackthis\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O17 - HKLM\System\CCS\Services\Tcpip\..\{D414CE9F-CF22-4516-BD17-6F6B8D1CDF48}: NameServer = 62.104.191.241 62.104.196.134 O20 - Winlogon Notify: st3i - C:\WINDOWS\q176687.dll (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
Das Logfile ist sehr (zu?) kurz. Hast du schon selber was dran gedreht? OK, vermutlich waren das die Tools, die du benutzt hast? Ausserdem bitte einen Scan mit eScan durchführen, dabei genau nach Anleitung vorgehen und das Ergebnis der find.bat posten! Gruß :daumenhoc Yopie |
Ok eScan kommt gleich.. naja habe selbst schon mal alle Programme deinstalliert die ich nicht brauche und alles der MSConfig geschmissen und von Hand einigen Müll gelöscht.. Das war der HJT von davor Logfile of HijackThis v1.99.1 Scan saved at 00:11:46, on 09.07.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\SYSTEM32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\WEBDE\SmartSurfer3.1\SmartSurfer.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\XXXXXX\Eigene Dateien\hijackthis\HijackThis.exe R3 - Default URLSearchHook is missing O2 - BHO: Class - {DA39029C-D291-A968-3FF4-D0990D5CB5FC} - C:\Programme\LinkOptimizer\LinkOptimizer.dll (file missing) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_06\bin\npjpi142_06.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - https://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v4/vet_install_popup.pl?1&6&04.00.08.43&unknown&unknown&http://www.tagheuer.com/multimedia/3d.lbl?ref=CS111C_FT6003 O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - https://www.gamespyid.com/alaunch.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{D414CE9F-CF22-4516-BD17-6F6B8D1CDF48}: NameServer = 62.104.191.241 62.104.196.134 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O20 - Winlogon Notify: st3i - C:\WINDOWS\q176687.dll (file missing) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\PROGRAMME\AVPERSONAL\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
OMG, ne also mit eScan wird das vorerst nix, das Priog hat ja 35 MB, verträgt sich nicht so gut mit meinem ISDN Anschluss :-) evtl. gibt der alte HJ Log etwas mehr Aufschluss... |
Hallo, wahrscheinlich meinst du die falsche Escan Version, die Freeversion (MWAV) sollte ca. 8Mb haben. Hast du mal versucht die Datei hier hochzuladen? Falls es funktioniert poste das Ergebnis. Bin mir aber nicht sicher ob es sich überhaupt um Malware handelt könnte auch ein komisches Verhalten irgendeines normalen Programms sein. Edit Mittlerweile sind es 10,5 MB Grüße Wildone |
Die File lässt sich scheinbar nicht uploaden, sieht zwar als würde es gelingen und es kommt die Checkliste, jedoch zeigt er bei Dateigröße 0 kb an, was wohl heißt das er die richtige datei gar nicht upgeloadet hat. Werde morgen nochmal escan schauen... Könnte womöglich vielleich doch noch ein seriöses Prog sein, aber ist mir rätselhaft warum es dann solche Versteckspiele nötig hat. |
Hallo, das File gehört zu diesem Trojaner, dazu kommt noch eine Infektion mit Zlob, gehe nach dieser Anleitung vor. Lade Dir Cleanup, gehe wie hier beschrieben vor, dannach lade Regseeker und verwende die Option "clean the registry", markiere alle grünen Einträge, löschen mit "del". Dannach poste das von Wildone und Yopie verlangte eScan Log, Anleitung hier. Gruß Schrulli |
Hallo, @Schrulli Wo siehst du Anzeichen für eine Zlob Infektion? Und ob der Eintrag: O20 - Winlogon Notify: st3i - C:\WINDOWS\q176687.dll (file missing) etwas mit dem Problem zu tun hat bin ich mir nicht so sicher, gerade auch wegen dem "file missing", und afaik tritt der "file missing bug" nur bei O23 Einträgen auf. Grüße Wildone |
Hallo, das mit dem Zlob vergessen wir mal ganz schnell. :rolleyes: Multiplethreading muss man auch können. Zu der Datei, bisher habe ich in dem Thread gelesen, das die Datei auf dem Rechner noch vorhanden ist. Sollte das nicht der Fall sein, warten wir wohl mal auf den eScan log. Gruß Schrulli |
Hallo, Zitat:
Grüße Wildone |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:50 Uhr. |
Copyright ©2000-2024, Trojaner-Board