Trojaner-Board - Datein, die immer wieder kommen und Prozesseintrag,der womöglicherweise viel hermacht

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Datein, die immer wieder kommen und Prozesseintrag,der womöglicherweise viel hermacht (https://www.trojaner-board.de/50159-datein-immer-kommen-prozesseintrag-womoeglicherweise-viel-hermacht.html)

Datein, die immer wieder kommen und Prozesseintrag,der womöglicherweise viel hermacht

Mein problem:
Ich habe den trojan.vundo selbst gelöscht, ohne Hilfproramme.
Es kamen mehremals Popups auf, die nicht mehr kommen.
Nun ladet ein DownloadeVirus Daten herunter, die Norton 2 Tage blockt, aber trotzdem kommen ein paar Datein in den Programme Ordner.
Dann kommen wieder diese Datein, die die Popups (Ebay usw. und Werbung zu Antivirprogrammen, die angeblich als einzige die Viren löschen können- Diese Popups kann man nicht mal mit "ja", "Nein" oder "Abbrechen" unterdrücken, weil sie sich noch öffnen - Die IP der Wernung habe Ich, siehe Ende des Treads bzw. Beitrgs ;)) verursachen, die Daten nissten sich aber nicht mehr im Windows Ordner oder deren Unterordner ein, sondern komemn, wie oben erwähnt, in den Programmeordner.
Die lösche ich und blockiere sie mit der Firewall ( Also die IP).
Gibt es irgendwie da eine Lösung, das zu verhindern, die Download Viruse heißen so:
Download.MisleadApp und Downloader
Folgene Viruse sind entfernt und kommen nciht mehr:
trojan.Horse und trojan.byteverify
Dieser Virus ist noch da:
trojan.vundo
Ich kann diesen Virus einfach nicht entfernen, so wie es hier im Forum steht.
Aber es kommt auch sowieso kein Popup auf, außer "S3.cookingluck".
Diese Varriiert zwischen "S3.cookingluck" bis zu Nummer "S9.cookingluck".
Dort drinnen steht, das ich eine Datei downlaoden soll, die ich natürlich nicht hole ;)
Es ist die Datei, die meinen PC angegriffen hat, die ich sofort, als ich mekte, das ich nen Virus draufhabe, sofort gelöscht.
Die Datein, die sich einisten nennen sich immer "Temp" und dann eine siebenstellige Zahl.

Nun zum zwieten problem:
Der Virus verwendet wahrscheinlcih unsichtbar den I-Net explorer, denn in den Porzessen steht, wenn ich das I-Net nicht offen habe, immer "IEXPLORER.exe".
Kann man dies beseitigen?

Drittes problem, das im Treadname nicht mehr reinpasste:
Es erstellt sich vom Virus ne Datei im "system32" Ordner, namens "wap.dbl".
Deswegen eine Frage, kann man diese Datei sperren, so das die nicht mehr erscheint?
Wenn es dazu eine Lösung gebe, diese Datei zu verhinden, so werde ich das auch mit dne "Temp"-Datein tun ;)

Ich hoffe, ihr könnt Tips dazu geben.

Wenn ihr ein hijackthis-Logfile haben wollt, ich habe das ausgeführt und es kamen keine Dinge auf, denn ales war positiv, das sagte nicht nur die Herstellersite von "hijackthis" sondern auch Norton, denen ich über das problem benachrichtigt habe, die aber das problem auch nicht lösen konnten, aber ich hoffe ihr könnt das ;)

Schonmal vielen Dank fürs vorbeischauen ;)

ich hoffe ihr könnt mit weiterhelfen^^
Wenn diese "S3.cookingluck" Werbung wieder aufkommt, mach ich ein screenshot und stelle es hier ins Forum, sowie die IP dieser Firma, die meine PC attakiert hat, ich hab die IP bei Google eingegeben und es kamen mehrere Beschwerden auf ;)

Diese Dateinmachen wahrschinlich den PC langsamer, weil der PC ist schon lanmgsamer...

Die IP der Firma: 89.188.16.16

Hi,

so ganz gelöscht schient der Vundo wohl doch noch nicht ;), stell erstmal das Hijackthis rein, das liefert schon mal einen Baisüberblick über dein System. Wenn es nicht genügend zeigt (was meistens der Fall ist) werden dann noch weitere Informationen angefordert werden.

Gruß, Karl

Logfile of HijackThis v1.99.1
Scan saved at 20:23:40, on 04.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Dennis\LOKALE~1\Temp\Rar$EX00.343\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\GEMEIN~1\SYMANT~1\IDS\IPSBHO.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Programme\FlashFXP\IEFlash.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: Norton-Symbolleiste anzeigen - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [ccApp] C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
O21 - SSODL: ServiceDrive - {b74eaca0-5a8a-4068-b6ca-4a3382584954} - C:\WINDOWS\Installer\{b74eaca0-5a8a-4068-b6ca-4a3382584954}\ServiceDrive.dll
O23 - Service: ASP.NET State Service (aspnet_state) - Unknown owner - C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_state.exe (file missing)
O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\AluSchedulerSvc.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - E:\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.EXE
O23 - Service: LiveUpdate Notice - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\GEMEIN~1\SYMANT~1\CCPD-LC\symlcsvc.exe

Im Explorer im Menü Extras -> Ordneroptionen -> Ansicht setze folgende Einstellungen:

Erweiterungen bei bekannten Dateitypen ausblenden -> Haken weg
Geschützte Systemdateien ausblenden -> Haken weg
Inhalte von Systemordnern anzeigen -> Haken setzen (diese Option ist bei Windows 2000 nicht vorhanden)
Versteckte Dateien und Ordner -> Alle Dateien und Ordner anzeigen

Geh mal zu VirusTotal und lass dort die

Zitat:

C:\WINDOWS\Installer\{b74eaca0-5a8a-4068-b6ca-4a3382584954}\ServiceDrive.dll

scannen. Ergebnisse hierher kopieren.

boar danke, gleich als Virus erkannt

Zitat:

Ergebnisse hierher kopieren.

Dann poste auch bitte die kompletten Ergebnisse, denn die Angabe "Virus" allein ist wertlos.

Wie kann ich sie löschen, ich machte "Prozess beenden", aber er sagt immer "Taskmanager konnte diesen kritischen Prozess nicht beenden".
Ist die Datei wichtig für Windows?
Ergebniss kommt gleich, muss nochmal prüfen, weil ich das Fenster geschlossen habe.

AhnLab-V3 2008.3.4.0 2008.03.04 Win-Trojan/Agent.14374.B
AntiVir 7.6.0.73 2008.03.04 TR/Agent.feh.22
Authentium 4.93.8 2008.03.04 -
Avast 4.7.1098.0 2008.03.04 Win32:Agent-SVL
AVG 7.5.0.516 2008.03.04 Agent.ORQ
BitDefender 7.2 2008.03.04 Generic.Malware.Sdld.E84A05C4
CAT-QuickHeal 9.50 2008.03.04 Trojan.Agent.feh
ClamAV 0.92.1 2008.03.04 Trojan.Agent-13952
DrWeb 4.44.0.09170 2008.03.04 Trojan.Click.17268
eSafe 7.0.15.0 2008.02.28 Suspicious File
eTrust-Vet 31.3.5587 2008.03.04 -
Ewido 4.0 2008.03.04 -
FileAdvisor 1 2008.03.04 -
Fortinet 3.14.0.0 2008.03.04 -
F-Prot 4.4.2.54 2008.03.04 W32/Agent.Z.gen!Eldorado
F-Secure 6.70.13260.0 2008.03.04 W32/Agent.dam
Ikarus T3.1.1.20 2008.03.04 Trojan-Clicker.Win32.Small.BG
Kaspersky 7.0.0.125 2008.03.04 Trojan.Win32.Agent.feh
McAfee 5244 2008.03.04 Generic.dx
Microsoft 1.3301 2008.03.04 TrojanClicker:Win32/Zirit.C
NOD32v2 2921 2008.03.04 a variant of Win32/TrojanClicker.Agent.NCU
Norman 5.80.02 2008.03.04 W32/Agent.dam
Panda 9.0.0.4 2008.03.04 Suspicious file
Prevx1 V2 2008.03.04 Agent.ORQ
Rising 20.34.12.00 2008.03.04 Trojan.Win32.Undef.dlr
Sophos 4.27.0 2008.03.04 Mal/Heuri-E
Sunbelt 3.0.906.0 2008.02.28 -
Symantec 10 2008.03.04 -
TheHacker 6.2.92.233 2008.03.04 Trojan/Agent.feh
VBA32 3.12.6.2 2008.02.27 Trojan.Win32.Agent.feh
VirusBuster 4.3.26:9 2008.03.04 Trojan.CL.Zilit.Gen!Pac
Webwasher-Gateway 6.6.2 2008.03.04 Trojan.Agent.feh.22

Man kann die Datei nicht löschen.....
Hat sich erledigt, aber das mit dem Virus weis ich nicht....
Ich habe im abgesichrten Modus die Datei löschen können *freu*

So, muss ich sonst ncoh anderes tun?

Ist ja alles etwas unübersichtlich, dien Eröffnungsbeitrag schmeißt mit Funden um sich, ohne Details zu verraten. Kaspersky Online: Kaspersky

Danhe für die schnellen Antworten, der Virus ist beseitigt.
Die services.dll war der überrest *freu*