Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   [Problem] Trojaner: SB S&D/Adaware etc. geblockt (https://www.trojaner-board.de/37865-problem-trojaner-sb-s-d-adaware-etc-geblockt.html)

Xychor 11.04.2007 12:43
[Problem] Trojaner: SB S&D/Adaware etc. geblockt
 
Hallo,

ich hab seit einigen Tagen ein ziemlich ernstes Problem.
Und zwar hab ich mir scheinbar einen Trojaner eingefangen, der sämtliche Gegenmaßnamen gegen sich zu verhindern versucht.
Beim ausführen von Programmen wie Spybot etc. werden diese direkt nach der Initialisierung beendet und lassen sich nicht ausführen. Ebenso verhält es sich mit eingängigen Webseiten wie z.B. der Spybot/HiJackwebsite usw. .
Die aktuelle Internetsitzung wird hierbei einfach beendet, sogar dann, wenn ich nur bei google den begriff Trojaner bzw. "trojan" als Suchbegriff verwende.
Im abgesicherten Modus (bei abgestellter Systemwiederherstellung) lassen sich zwar alle Programme verwenden, jedoch werden ständig andere Malwareprogramme mit ständig anderen Namen gefunden, sodass ich nichteinmal genau sagen kann worum es sich jetzt genau handelt.

Als "Hauptschutz" verwende ich Trend Micro PC-Cillin 14
ergänzt durch Adaware, CC und Spybot S&D.
Betriebssystem ist Windows XP Professional SP2.

Bei der Durchsicht eines HiJackThis Logs sind mir ebenfalls keine 'Anomalien' aufgefallen.

Ich weiss momentan nicht was ich noch tun soll, alle 'Standardmethoden'
führen zu keinem Ergebnis und ich habe das Gefühl, dass es sich um etwas wirklich ernstes handelt, zumal Onlinebanking für mich z.Z. aus geschäftlichen Gründen absolut unabdingbar ist.

MfG
Xy :(

hoerni26 11.04.2007 13:09
Hallo,

wenn du Hilfe willst solltest du hier trotz allem ein HJT Logfile posten.
Anleitung dazu findest du in meiner Signatur.
Dann sehen wir einmal weiter.

Xychor 11.04.2007 13:41
Hallo,

die Anleitung in deiner Signatur kann ich leider nicht öffnen, da dann sofort die aktuelle Firefoxsitzung beendet wird.

HiJackThis lies sich zunächst auch nicht ausführen, aber bei gedrückter Entertaste (ab dem Startmoment), war ich scheinbar schneller als das Programm, sodass es mir dennoch gelang einen log zu erstellen, der jedoch erst funktionierte nachdem ich ihn umbenannt und zu einer .txt Datei gemacht hatte. Mir fällt gerade aus, dass dort einige Einträge vorzufinden sind, die ich im abgesicherten Modus so nicht vorgefunden habe (oder übersehen habe)

hier erstmal der log (hoffe, dass auch ohne Anleitung alles korrekt ist)

Logfile of HijackThis v1.99.1
Scan saved at 14:34:24, on 11.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\SYSTEM32\SVCHOST.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe
D:\Programme\Maus\MouseWare\system\em_exec.exe
C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
D:\Programme\QuickTime\qttask.exe
C:\Programme\Trend Micro\Internet Security 14\pccguide.exe
C:\PROGRAMME\ICQLITE2\ICQLITE.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\IEXPLORER.EXE
C:\Programme\Gemeinsame Dateien\{E8DF0CB3-096B-1033-0818-040629040031}\Update.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Programme\Creative\MediaSource\Detector\CTDetect.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\defragActivityMonitor.exe
C:\PROGRA~1\TRENDM~1\INTERN~4\PCCTLCOM.EXE
C:\PROGRA~1\TRENDM~1\INTERN~4\Tmntsrv.exe
D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
C:\PROGRA~1\TRENDM~1\INTERN~4\TMPROXY.EXE
C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
C:\PROGRA~1\TRENDM~1\INTERN~4\TMPFW.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\Dokumente und Einstellungen\***\Desktop\Downloads\WICHTIGE DATEN\HijackThis.exe
C:\WINDOWS\system32\verclsid.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.freewebportal.net/
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2ZS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [pccguide.exe] "C:\Programme\Trend Micro\Internet Security 14\pccguide.exe"
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite2\ICQLite.exe" -minimize
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Explorer] C:\WINDOWS\iexplorer.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Programme\AntiSpy\CCleaner\ccleaner.exe" /AUTO
O4 - HKCU\..\Run: [Creative Detector] C:\Programme\Creative\MediaSource\Detector\CTDetect.exe /R
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Stardock ObjectDock.lnk = C:\WINDOWS\BricoPacks\Vista Inspirat\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Ashampoo Magical Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragCtrl.exe
O4 - Global Startup: ICQ 5.lnk = C:\Programme\ICQLite2\ICQLite.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: ViVL: Save Pictures... - C:\Programme\ViVL.COM\vivlWebSaverImage.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_05\bin\npjpi150_05.dll
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: Run WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra 'Tools' menuitem: Launch WinHTTrack - {36ECAF82-3300-8F84-092E-AFF36D6C7040} - C:\Programme\WinHTTrack\WinHTTrackIEBar.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite2\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite2\ICQLite.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {1F334F60-3C6F-48F7-8251-F5A64BE8A6F5} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {1F334F60-3C6F-48F7-8251-F5A64BE8A6F5} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176289913953
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Trend Micro Central Control Component (PcCtlCom) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~4\PcCtlCom.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: Trend Micro Real-time Service (Tmntsrv) - Trend Micro Incorporated. - C:\PROGRA~1\TRENDM~1\INTERN~4\Tmntsrv.exe
O23 - Service: Trend Micro Personal Firewall (TmPfw) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~4\TmPfw.exe
O23 - Service: Trend Micro Proxy Service (tmproxy) - Trend Micro Inc. - C:\PROGRA~1\TRENDM~1\INTERN~4\tmproxy.exe

Xychor 13.04.2007 01:09
Problem hat sich (scheinbar) gelöst.

Suche mit anderen Programmen hat die "iexplorer.exe" im Windowsverzeichnis als infiziert identifiziert. Nach der Löschung keine Probleme mehr.

ezak 13.04.2007 07:13
Hallo Xychor,

bitte lass doch noch mal folgende Datei Update.exe in dem Ordner C:\Programme\Gemeinsame Dateien\{E8DF0CB3-096B-1033-0818-040629040031}\ bei jotti scannen.

Da die iexplorer.exe zu folgenden Trojanern gehören könnte, wäre es sinnvoll, dein System neu aufzusetzen.

Ein Systemscan mit escan ist ebenfall sinnvoll. Eine Anleitung findest du in meiner Signatur.


Alle Zeitangaben in WEZ +1. Es ist jetzt 17:24 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129