Computerhilfen.de Logo
Forum
Tipps
News
Frage stellen

Trojaner eingefangen

Moin,

ich habe zur Zeit folgende Probleme.

Gestern habe ich mir irgendwie beim Runterladen von Programmen einiges eingefangen.

Da wären:

Mein Virenschutzprogramm (Antivir) piepte an einem Stück weil er mehrere Probleme entdeckt hat. Hier der Report:

Beginn des Suchlaufs: Montag, 13. November 2006  16:01


Der Suchlauf über gestartete Prozesse wird begonnen:
Es wurden 22 Prozesse durchsucht

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:\'
      [HINWEIS]   Es wurde kein Virus gefunden!

Scan der Registry auf Verweise zu ausführbaren Dateien.
Die Registry wurde durchsucht ( 23 Dateien ).


Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\MTE3NDI6ODoxNgnew.exe
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Small.buy.1
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '459d891e.qua' verschoben!
C:\pagefile.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\RDFX4.exe
      [FUND]      Enthält Signatur des Droppers DR/Dldr.Small.ctp
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '459e8911.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\NTUSER.DAT
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\ntuser.dat.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\bl.db-journal
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Ahead\Nero Home\is2.db-journal
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Anwendungsdaten\Mozilla\Firefox\Profiles\7ssvxxcd.default\Cache\4CA8941Ad01
 

  • Archivtyp: RAR

  --> install.exe
      [FUND]      Ist das Trojanische Pferd TR/Dldr.Adload.FU.3
  --> * bitte keine illegalen Tipps *.exe
      [FUND]      Enthält Signatur des Droppers DR/Shelled.Gen
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '459989b7.qua' verschoben!
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temp\184xswz3.wmf
      [FUND]      Enthält Signatur des Exploits EXP/MS06-001.WMF
      [INFO]      Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '458c89b4.qua' verschoben!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\default.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SAM.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\SECURITY.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\software.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\config\system.LOG
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!
C:\WINDOWS\system32\drivers\sptd9277.sys
      [WARNUNG]   Die Datei konnte nicht geöffnet werden!


Ende des Suchlaufs: Montag, 13. November 2006  16:30
Benötigte Zeit: 29:18 min

Der Suchlauf wurde vollständig durchgeführt.

   5907 Verzeichnisse wurden überprüft
 256295 Dateien wurden geprüft
      5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
   2702 Archive wurden durchsucht
     27 Warnungen
      0 Hinweise

Nach mehrmaligen Versuchen habe ich es geschafft, dass Antivir mittlerweile nichts mehr findet. Auch Spybot S&D und XP-Antispy finden nichts mehr. Weiterhin habe ich den Skript von hijackhis ausprobiert, der auch nichts gefunden hat.

Mein Problem: Egal ob ich den Firefox (Vers. 2.0) schon geöffnet habe oder nicht, öffnet der ca. alle 2-3 Minuten einen neuen Tab mit Werbemüll (Reisen, Pokern, Virenschutzprogrammen, etc). Das nervt. Ich habe schon versucht, Firefox erneut zu updaten, hat leider nichts gebracht.

Habt Ihr vielleicht Ideen?


Antworten zu Trojaner eingefangen:

Hallo,
 

Zitat
Habt Ihr vielleicht Ideen?  
Jep...jede Menge... ;D

 
Zitat
XP-Antispy finden nichts mehr
Das findet schon mal gar nix,weil dafür ist es nicht gemacht...
Das soll keine Maleware finden,sondern nur dein Windows verbiegen... ;D

 
Zitat
Weiterhin habe ich den Skript von hijackhis ausprobiert,
Das wäre schon mal der erste Ansatz.. ;D
Laß und das Logfile auch sehen !!

 
Zitat
 5 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
      4 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt

5 entdeckt-4 kassiert,ergibt eins------ den der dich quält  ;D
Sir Reklov

 

Zitat
Das soll keine Maleware finden,sondern nur dein Windows verbiegen...

Ich dachte das wäre schon verbogen genug *g*. OK, hier der aktuelle Log von Hijackthis:

Logfile of HijackThis v1.99.1
Scan saved at 23:25:57, on 14.11.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\AVerTV\QuickTV.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\WINDOWS\system32\notepad.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.594\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [EPSON Stylus C46 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0T1.EXE /P23 "EPSON Stylus C46 Series" /O6 "USB001" /M "Stylus C46"
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: QuickTV.lnk = C:\Programme\AVerTV\QuickTV.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O20 - Winlogon Notify: Telephony - C:\WINDOWS\system32\hr2o05f3e.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007.SP1\RpcSandraSrv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hups, gerade noch was bemerkt. Wenn ich mich bei meinem Lieblingsonlinespiel (www.hattrick.org) einloggen will, werde ich sofort mit einem Timeout rausgschmissen.

Die Hilfsprogramme dazu können sich ohne Probleme die Daten von der Seite ziehen. Weiß halt nicht, ob das was damit zu tun hat...

 

Zitat
Hups, gerade noch was bemerkt. Wenn ich mich bei meinem Lieblingsonlinespiel (www.hattrick.org) einloggen will, werde ich sofort mit einem Timeout rausgschmissen.

Die Hilfsprogramme dazu können sich ohne Probleme die Daten von der Seite ziehen. Weiß halt nicht, ob das was damit zu tun hat...

Sofort vergssen - das einloggen bei Hattrick klappt nun...

Hallo,
eigentlich sieht dein Log gut aus.Für den von Antvir gefunden Burschen muß eine "installer.exe" im Log erscheinen... ???
Entweder die ist schon in der Qurantäne oder aber ist modifiziert...
Mach mal folgendes und berichte dann :
 http://www.ewido.net/de/download/
Das ist Ewido Security Suite,lade das ,installiere es und gehe in den "abgesicherten Modus" (F8 beim hochfahren,wähle nur : "abgesicherter Modus" !!Nix anderes.
Lasse "Ewido" laufen als Komplettscan und löschen was immer auch angemeckert wird.Dieses Löschergebniss zeigst du hier.
Bereinige es aber um die Cockies die gelöscht werden,sind unintressant.
Sir Reklov

OK, mache ich. Danke schon mal.

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

 + Erstellt um:   01:01:46 15.11.2006

 + Scan-Ergebnis:   



C:\WINDOWS\system32\bgtsprx2.dll -> Adware.Look2Me : Ignoriert.
C:\WINDOWS\system32\cxypt32.dll -> Adware.Look2Me : Ignoriert.
C:\WINDOWS\system32\jqbexec.dll -> Adware.Look2Me : Ignoriert.
[732] C:\WINDOWS\system32\epent97.dll -> Adware.Look2Me : Ignoriert.
[884] C:\WINDOWS\system32\epent97.dll -> Adware.Look2Me : Ignoriert.
C:\Dokumente und Einstellungen\Administrator\Desktop\EuroAirWar-dm.exe -> Adware.Trymedia : Ignoriert.
C:\Dokumente und Einstellungen\Administrator\Desktop\WorldWarIIFlyingAceSetup-dm.exe -> Adware.Trymedia : Ignoriert.

Dieses "Look2Me" kommt mir irgendwie bekannt vor - Ad-Aware hat das auch gefunden und angeblich gelöscht.

Hier zwei gute Removeltools gegen die Malware Look2Me:

ftp://ftp.f-secure.com/support/tools/f-look2me
oder
http://www.atribune.org/content/view/28/


Lösche noch die beiden folgenden Dateien !

C:\Dokumente und Einstellungen\Administrator\Desktop\EuroAirWar-dm.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\WorldWarIIFlyingAceSetup-dm.exe

Wieder zum Schluss noch mal den Scan mit Ewido.
Das sollte es dann gewesen sein.

 

Zitat
Lösche noch die beiden folgenden Dateien !

C:\Dokumente und Einstellungen\Administrator\Desktop\EuroAirWar-dm.exe
C:\Dokumente und Einstellungen\Administrator\Desktop\WorldWarIIFlyingAceSetup-dm.exe
 

Ich krieg da immer die Fehlermeldung" Die Datei wird von einer anderen Person bzw. einem anderen Programm verwendet und kann nicht gelöscht werden.

Hallo,
warum das löschen ? Das sind Teile eines Spiels bzw.zweier."Trymedia" ist Firmenteil von Macrovision,von denen stammt der Flashplayer.
Natürlich könnte da auch ein versteckter Anhang dabei sein.....
Das kommt dann wohl auf die Downloadquelle an.Darüber müßte aber "Jakey1" Auskunft geben.....
@Jakey1
Wie weit bist du mit der Look2me-Entfernung ?
Sir Reklov

---------------------------------------------------------
AVG Anti-Spyware - Scan-Bericht
---------------------------------------------------------

 + Erstellt um:   12:52:23 15.11.2006

 + Scan-Ergebnis:   



C:\Dokumente und Einstellungen\Administrator\Desktop\EuroAirWar-dm.exe -> Adware.Trymedia : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Desktop\WorldWarIIFlyingAceSetup-dm.exe -> Adware.Trymedia : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\ODQ7CPEB\loader[1].exe -> Downloader.Adload.di : Keine Aktion durchgeführt.
C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SPAR01U3\drsmartload[1].exe -> Downloader.Adload.di : Keine Aktion durchgeführt.

::Berichtende



Die beiden Dateien habe ich übrigens bei freenet runtergeladen. Das war dann auch so ungefähr der Zeitpunkt, wo AntiVir zu piepsen begann.

Würde sie schon gerne wieder löschen, da sie auf meinem Desktop nur unnötig Platz wegnehmen.

Hallo,
klare Aussagen machen klare Handlungen möglich.. ;D
 

Zitat
Wie weit bist du mit der Look2me-Entfernung ?
Die Dateien kannst du im "abgesicherten Modus" platt machen.
Wie du rein kommst ist klar ? F8 drücken beim Anschalten und fest halten.Danach "abgesicherter Modus" auswählen.Nur dieses keine der anderen Möglichkeiten !!
Den Pfad der von dem AV-Proggi angegeben wird einfach folgen....
Sir Reklov

Hm, klappt irgendwie nicht. Ich öffne im abgesicherten Modus den Explorer, gehe zum Pfad und rechtsklicke auf die Datei und dann löschen.

Ergebniss ist dieselbe Fehlermeldung wie im normalen Modus.


« seit neustem massenhaft spams im emailpostfachCD-Passwortschutz: »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Zugriffszeit
In Milisekunden angegebene Zeit, die das Speichermedium zum Erreichen der gesuchten Daten braucht. Die Zeit ist abhängig vom technischen Verfahren des Mediums sowie ...

Reaktionszeit
In der Elektronik versteht man unter der Reaktionszeit die Zeit, die ein Flachbildschirm benötigt, um die Farbe und die Helligkeit eines Bildpunktes zu ändern. ...

Bootsektor
Der Begriff Bootsektor, auch Bootblock genannt, bezeichnet den ersten Sektor einer Festplatte, SSD oder Diskette. Er ist besonderss wichtig, da er den Initialisierungscod...