Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Worm/Remadm.A.9 (https://www.trojaner-board.de/7305-worm-remadm-a-9-a.html)

Baumi 03.09.2004 16:45
Worm/Remadm.A.9
 
Hallo zusammen

Brauche Hilfe bei Diesem
:schrei: Worm/Remadm.A.9

Hat sich gestern bei mir eingeschlichen... :snyper:

Kennt den jemand??? HABE MICH SCHON WUND GEGOOGELT...!

Grüsse und Thanx für eure Antworten

Baumi :)

MountainKing 03.09.2004 16:56
Welcher Virenscanner entdeckt den Schädling und wo?

Befolge mal dies:

http://www.trojaner-board.de/42731-escan-anleitung.html

und erstelle ein Log hiermit:

http://www.trojaner-board.de/51130-a...ijackthis.html

Baumi 03.09.2004 17:24
Hy und Thanx für die promte antwort...

E-Scan habe ich schon länger... habe ihn auch gestern abend angewendet.
Werde aber nicht so richt schlau aus 4 (2mal die gleichen) meldungen blablabla.no action taken... hat er jetzt da was bewegt?

Habe die Log Datei eingerichtet... und jetz? sorry bin nicht so der Hirsch mit Viren&co

Grüsse

Baumi 03.09.2004 17:30
sorry hier der Log..... Tja Rooky halt...

Logfile of HijackThis v1.98.2
Scan saved at 18:07:35, on 03.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\S3tray2.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\EZButton\CP51NBtn.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\EZButton\CPHKCnt.EXE
C:\PROGRA~1\EZButton\DtcEMail.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Baumi\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CP51NBtn] C:\PROGRA~1\EZButton\CP51NBtn.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1087883125334

Shadowdance 03.09.2004 17:32
Hallo Baumi,

hast Du den eScan im abgesicherten Modus laufen lassen? Ist er geupdatet?
Teile uns bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen diese Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt.

Unter dem Link (http://www.trojaner-board.de/51130-a...ijackthis.html), den MountainKing Dir gegeben hat, findest Du eine Anleitung, wie Du ein logfile erstellen kannst. Poste es bitte hier im Forum mittels copy&paste.

SD

Baumi 03.09.2004 21:21
Hy

also habe e-scan im abges.mod. arbeiten lassen... folgendes kam raus dabei...

Tue Aug 03 19:11:06 2004 => File C:\windows\system32\sncntr.exe infected by "TrojanDownloader.Win32.Dluca.gen" Virus. Action Taken: File Deleted.

Tue Aug 03 19:11:21 2004 => File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Mon Aug 23 19:03:30 2004 => Total Number of Files Scanned: 1458
Mon Aug 23 19:03:30 2004 => Total Number of Virus(es) Found: 2
Mon Aug 23 19:03:30 2004 => Total Number of Disinfected Files: 0
Mon Aug 23 19:03:30 2004 => Total Number of Files Renamed: 1
Mon Aug 23 19:03:30 2004 => Total Number of Deleted Files: 0
Mon Aug 23 19:03:30 2004 => Total Number of Errors: 0
Mon Aug 23 19:03:30 2004 => Time Elapsed: 00:01:25
Mon Aug 23 19:03:30 2004 => ***** Scanning complete. *****
Mon Aug 23 19:03:30 2004 => Virus Database Date: 2004/08/02
Mon Aug 23 19:03:30 2004 => Virus Database Count: 99087

Komisch finde ich nur die Datums oben...? ist zwar ein 5 min alter e-scan Log - keine ahnung...

Hier noch der Log von Hijackthis...


Logfile of HijackThis v1.98.2
Scan saved at 22:37:25, on 03.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\S3tray2.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\EZButton\CP51NBtn.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Bluetooth Software\BTTray.exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\BLUETO~1\BTSTAC~1.EXE
C:\PROGRA~1\EZButton\CPHKCnt.EXE
C:\PROGRA~1\EZButton\DtcEMail.EXE
C:\Dokumente und Einstellungen\Baumi\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CP51NBtn] C:\PROGRA~1\EZButton\CP51NBtn.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1087883125334



:sleepy: grüsse

MountainKing 04.09.2004 14:00
Was hast du für eine Grafikkarte?

Fixen kannst du auf jeden Fall schon mal:

O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe

vorher Prozess beenden, falls es nicht klappt und der Eintrag wiederkommt, Systemwiederherstellung vorübergehend deaktivieren:

http://www.systemwiederherstellung-d...indows-xp.html

auch noch fixen:

O4 - Global Startup: BTTray.lnk = ?
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\AGNITUM\OUTPOS~1.0\trash.exe (file missing) (HKCU)

Baumi 04.09.2004 14:53
Hy MountainKing

Danke für Deine Zeit... :D

Habe eine "S3 Graphics Twister & S3Hotkey" Grafikkarte... das sagen zumindest "meine" Eigenschaften.

Zu diese Datei: O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe die ich fixen soll, noch ne frage:
ist doch eine Programm/Datei von meinem Cable-modem??? Nur so das ich weiterhin ins Netz kann... :heilig:

Nur um sicherzugehen, mache ich das ganze im abges.Mod.? und mit HijackThis...?

Grüsse

MountainKing 04.09.2004 15:34
Ok, dann sind die Prozesse bezüglich S3 ja auch in Ordnung. :)

Was die cfd.exe betrifft, ich habe anhand dieser informationen entschieden:

http://www.frankn.com/html/cfd_exe.php
http://www.liutilities.com/products/...sslibrary/cfd/

Andererseits habe ich nun auch das gesehen:

http://weblogs.asp.net/jtobler/archi...18/186931.aspx

Also vielleicht lässt du es erstmal, kann man von hier dann wohl nicht wirklich entscheiden.


Die anderen Sachen sind eh nicht gefährlich, sondern unnötig, von daher kannst du es im Zweifelsfall wohl auch erst mal so lassen, wie es ist, wenn die cfd.exe sauber ist, kann ich eigentlich nichts weiter gefährliches erkennen im Moment.

Baumi 04.09.2004 16:00
:aplaus:

Hallo

Habe einmal alles ausser die "O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe" gefixt...

Ist komisch das habe ich auch schon gelesen das diese Datei "daten über das Surfverhalten sammelt um an den I-Net Beitreiber zu senden" Stutzig macht mich nur das ich das bei der Installation ganz klar ABGELEHNT habe...hmmm

Was meinst Du? Sollte mir nichts kaputt machen wenn ich sie lösche...?

Übrigens :huepp: habe ich das gefühl, dass der Desktop jetzt schneller lädt, sprich er ist es tatsächlich...:crazy: :crazy:

Hier die Log:

Logfile of HijackThis v1.98.2
Scan saved at 16:46:44, on 04.09.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Bluetooth Software\bin\btwdins.exe
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartService.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\S3hotkey.exe
C:\WINDOWS\system32\S3tray2.exe
C:\Programme\Apoint2K\Apoint.exe
C:\PROGRA~1\EZButton\CP51NBtn.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Apoint2K\Apntex.exe
C:\PROGRA~1\EZButton\CPHKCnt.EXE
C:\PROGRA~1\EZButton\DtcEMail.EXE
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Baumi\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [S3hotkey] S3hotkey.exe
O4 - HKLM\..\Run: [S3TRAY2] S3tray2.exe
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [CP51NBtn] C:\PROGRA~1\EZButton\CP51NBtn.EXE
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Norton SystemWorks\Norton Ghost\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [BJCFD] C:\Programme\BroadJump\Client Foundation\CFD.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\msjava.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://global.acer.com/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1087883125334

Grüsse und vielen Dank

Baumi


Alle Zeitangaben in WEZ +1. Es ist jetzt 14:17 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19