Trojaner-Board - downloader

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - downloader > trojaner (https://www.trojaner-board.de/41397-downloader-trojaner.html)

downloader > trojaner

Hallo Leute

Also vor 2 Tagen wies mich Norton AntiVirus darauf hin, dass ich wieder irgendwelche gedownloadete .tmp Datein drauf hab. So dann hab ich in C:\WINDOWS\Temp erstmal den ganzen Ordner geleert (mit Mühe, da mein Scanner AntiVir, die ganze Zeit Meldungen gebracht hat) dann war ne Zeit lang Ruhe, bis ich wieder Heute aufmerksam geworden bin und nochmals alle .tmp Dateien gelöscht habe (auch dieses mal mit Mühe).

So dann hab ich bei Norton mal in die Ereignis Liste geschaut und siehe da, diese Dateien werden durch ein ''LiveUpdate'' gedownloadet -.-

Hier das Pic:

http://img119.imageshack.us/img119/4...eupdatepe5.png

Ich hab keine Ahnung wie ich des Stoppen kann :(, wisst ihr vll wo ich diese Verbindung disconnecten könnte ? Also ich hab das so ein Verdacht das mir ein Trojaner die Windows Update Verbindung gestohlen hat, weil ich schon seit längerer Zeit sehe das ''keine'' Verbindung hergestellt werden konnte. Deshalb muss ich immer manuell die Sicherheits Updates von microsoft ziehen.

mfg john_III

ganz einfach runter mit dem norton:snyper: das verlangsamt und bringt unglück.:koch:
ein paar nützliche programme sind auch nicht schlecht hol dir a-squraed free,
dann hohl dir noch nen free firewall www.sygate.de is sehr gut dann avira...(wenn dus noch nicht hast) und dann bist du sicher so ziemlich .... vielleicht noch ad aware :aplaus:

Zitat:

Zitat von john_III (Beitrag 282824)

Ich hab keine Ahnung wie ich des Stoppen kann :

Warum willst Du Norton daran hindern sich upzudaten?

Zitat:

Zitat von john_III (Beitrag 282824)

Also ich hab das so ein Verdacht das mir ein Trojaner die Windows Update Verbindung gestohlen hat, weil ich schon seit längerer Zeit sehe das ''keine'' Verbindung hergestellt werden konnte.

Was hat Nortn mit den Windows Updates zu tun? Norton Live Update != Windows Update.
Lade Die HJT, starte es, führe einen Scan aus und poste das Log hier.

Bata

Ich dachte dieses Live Update wäre von einem Trojaner der Sachen aus dem Internet lädt !! Natürlich hab ich nichts dagegen wenn es sich um das Norton Update handelt.

Es ist so, dass irgendein Trojaner oder sonstiger Virus immer Sachen runterlädt ins C:\WINDOWS\Temp !! Oder wie sonst kann mann erklären das dort alle 2-3 Tage wieder .tmp Dateien reinkommen und dann der Avira Scanner Alarm schlägt ??

Btw hab ich noch Spyware die ich nicht mal im abgesicherten Modus mit HJT weg krieg -.-.

Hier mal das Log:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
D:\Alcohol 52\StarWind\StarWindService.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\nigi\Desktop\HijackThis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [vptray] C:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1185462221781
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1185462113609
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - D:\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: DefWatch - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - C:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Alcohol 52\StarWind\StarWindService.exe

Nun ich hoffe ihr könnt mir irgendwie helfen.

Deinistalliere über Start->Systemsteuerung->Software NewDotNet

fixe dann mit HJT

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - (no file)
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s

Zu den Temporären Dateien Link. Sind also völlig normal.

Diese Anleitung noch abarbeiten.

Bata

Zitat:

Es ist so, dass irgendein Trojaner oder sonstiger Virus immer Sachen runterlädt ins C:\WINDOWS\Temp !! Oder wie sonst kann mann erklären das dort alle 2-3 Tage wieder .tmp Dateien reinkommen und dann der Avira Scanner Alarm schlägt ??

genau so was kommt dann dabei raus, wenn man meherere Hintergrundwächter bzw. Virenscanner einsetzt, sie kommen sich irgendwann gegenseitig ins Gehege. Trenn dich von einem Virenscanner. Ich würde den Norton-Krempel löschen.

danke sehr für diese Antworten, werde den Norton Krempel mal ins Nirvana schicken xD. Leider is bei Systemsteuerung > Software keinen NewDotNet Eintrag auch nicht in C:\Programme\NewDotNet... den Link werd ich mir mal ansehen.

Dann wie geschrieben die Anleitung bearbeiten.

Bata