TR/Puper.BX & TR/Click.526 & TR/Agent.RI stören.

Thema ist geschlossen!
Thema ist geschlossen!
#0
14.07.2006, 03:59
...neu hier
Avatar Chezza

Beiträge: 1
#1 Guten Morgen ;)

Ich versuche nun seit Stunden verzweifelt oben genannte Trojaner (TR/Puper.BX & TR/Click.526 & TR/Agent.RI) vom Rechner zu bekommen. Ich möchte nur ungern Windows wieder neu aufspielen.

Antvir erkennt sie zwar (und das alle 5-10min) aber löschen oder in Quarantäne verschieben bringt nichts. Selbst im Abgeschicherten Modus scannte ich nochmals, wobei er da garnichts finden kann.

Spybot, Ad-Aware und Spyhunter konnten mir leider nicht weiter helfen.

Aber nun zu den Infos:

Zitat

1.Erstellen eines Hijackthis-Logfiles
Logfile of HijackThis v1.99.1
Scan saved at 03:40:46, on 14.07.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\0190 Warner\w0svc.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
D:\1_Programme\Firewall\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\oodag.exe
D:\1_Programme\Firewall\Personal Firewall 4\kpf4gui.exe
C:\Programme\Registry Defragmentation\RegManServ.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe
C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE
D:\1_Programme\Firewall\Personal Firewall 4\kpf4gui.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\Username\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/search?hl=de&q=Filmb%C3%B6rse&meta=
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.Netsquare.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: 0190/0900 Warner Browser Helper - {D2F63D33-C571-41E9-9525-A17CA1804D3B} - C:\PROGRA~1\0190WA~1\whelper1.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Programme\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRA~1\T-DSLS~1\SpeedMgr.exe"
O4 - HKLM\..\Run: [WinDVR SchSvr] "C:\Programme\Gemeinsame Dateien\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [EPSON Stylus DX4200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIAEE.EXE /P26 "EPSON Stylus DX4200 Series" /O6 "USB002" /M "Stylus DX4200"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [iwbvd.exe] C:\WINDOWS\system32\iwbvd.exe
O4 - HKLM\..\RunOnce: [WIAWizardMenu] RUNDLL32.EXE C:\WINDOWS\system32\sti_ci.dll,WiaCreateWizardMenu
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\1_PROG~1\Office\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=http://www.Netsquare.de
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1121437165390
O23 - Service: 0190/0900 Warner Überwachungsdienst (0190_0900_Warner_MonitorService) - Mirko Böer - C:\Programme\0190 Warner\w0svc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - D:\1_Programme\Firewall\Personal Firewall 4\kpf4ss.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: O&O Defrag - O&O Software GmbH - C:\WINDOWS\system32\oodag.exe
O23 - Service: Registry Management Service (RegManServ) - Unknown owner - C:\Programme\Registry Defragmentation\RegManServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - D:\1_Programme\TuneUp\WinStylerThemeSvc.exe

Zitat

Folgen den Anweisungen unter http://virus-protect.org/cleanup.html
Getan ! Ebenfalls hatte ich vorher mit CleanXp auch alles bereinigt. Bei den Browsern den Cache & Cookies gelöscht und Datenträger bereinigung gemacht.

Zitat

Logfiles mittels datfind.bat
Verzeichnis von C:\

14.07.2006 03:46 0 sys.txt
14.07.2006 03:46 6.446 system.txt
14.07.2006 03:46 538 systemtemp.txt
14.07.2006 03:46 113.388 system32.txt
14.07.2006 02:40 1.073.270.784 hiberfil.sys
14.07.2006 00:17 211 boot.ini
12.07.2006 17:38 16 UsageTrack.txt
28.03.2006 06:00 306.731 hpfr5600.log
05.03.2006 11:57 3.072 Thumbs.db
01.09.2004 15:10 47.564 NTDETECT.COM
01.09.2004 15:10 251.184 ntldr
29.07.2004 15:25 1.183 hpothb07.dat
28.05.2004 20:31 2.074 TDSLCheck.txt
31.01.2004 18:19 125 I.HTM
22.09.2003 12:05 1.181 testre
22.09.2003 11:47 0 MSDOS.SYS
22.09.2003 11:47 0 CONFIG.SYS
22.09.2003 11:47 0 IO.SYS
02.04.2003 13:00 4.952 bootfont.bin
19 Datei(en) 1.074.009.449 Bytes
0 Verzeichnis(se), 1.917.480.960 Bytes frei

Verzeichnis von C:\WINDOWS

14.07.2006 02:40 156 wiadebug.log
14.07.2006 02:40 0 0.log
14.07.2006 02:40 1.378.056 WindowsUpdate.log
14.07.2006 02:40 50 wiaservc.log
14.07.2006 02:40 2.048 bootstat.dat
14.07.2006 01:56 3.203 system.ini
14.07.2006 01:56 670 win.ini
13.07.2006 20:09 4.517 rdt.ini
13.07.2006 20:05 6.400 balloon.wav

09.07.2006 15:51 132 winamp.ini
08.07.2006 06:40 54.156 QTFont.qfn
01.06.2006 10:46 12.862 EPISMG00.SWB
11.05.2006 07:54 3.527 mozver.dat
09.05.2006 18:00 32.636 DIIUnin.dat
09.05.2006 17:48 2.829 DIIUnin.pif
09.05.2006 17:48 102.400 DIIUnin.exe
21.04.2006 10:03 1.409 QTFont.for
31.03.2006 08:44 683 SIERRA.INI
30.03.2006 20:17 31 EPSMTL32.TXT
30.03.2006 20:17 25 CDE DX4200EFGIPSD.ini
11.03.2006 11:00 34 cdplayer.ini
05.03.2006 11:57 7.680 Thumbs.db
05.03.2006 11:30 56 dogsy.acx
04.03.2006 16:56 28 album.ini
04.03.2006 16:56 1.382 pstudio.ini
03.03.2006 22:21 32.411 SGTBox.INI

Verzeichnis von C:\DOKUME~1\Username\LOKALE~1\Temp

14.07.2006 03:46 447 ynf1F.tmp
14.07.2006 03:40 447 aru16.tmp
14.07.2006 03:33 447 egk15.tmp
14.07.2006 03:26 447 dcw11.tmp
14.07.2006 03:20 447 ynrF.tmp

14.07.2006 02:41 16.384 Perflib_Perfdata_1a4.dat
6 Datei(en) 18.619 Bytes
0 Verzeichnis(se), 1.917.480.960 Bytes frei

Verzeichnis von C:\WINDOWS\system32

14.07.2006 02:40 440.574 OODBS.lor
13.07.2006 18:27 43.520 CmdLineExt03.dll
02.07.2006 10:40 12.598 wpa.dbl
16.06.2006 06:34 57.384 avsda.dll
11.05.2006 07:54 7.006 jupdate-1.5.0_06-b05.log
09.05.2006 17:59 21.840 SIntfNT.dll
09.05.2006 17:59 17.212 SIntf32.dll
09.05.2006 17:59 12.067 SIntf16.dll
31.03.2006 22:22 6.291 EPPICResdb0000
31.03.2006 22:22 117 EPPICResdb
23.03.2006 15:00 477.184 autoprnt.exe
23.03.2006 15:00 37.888 setupnt.dll
23.03.2006 15:00 118.784 snapapi.dll
13.03.2006 16:03 278.152 FNTCACHE.DAT

Zitat

4.Problembeschreibung / Symptome ?
Alle 5min-10min meldet sich mein AntiVir mit der Meldung das einer der oben genannten Trojaner gefunden hat.

Als Pfad wird immer folgender angezeigt:
C:\WINDOWS\system32\{66AA56D6-E611-48E2-B8CD-C54C69B4E580}.exe

Wobei die Zahlen und Nummern sich in den {} ändern.


So, hoffe auf Hilfe ;)
Schonmal Dank im vorraus für Antworten.


-------------18:34

Nochmals hallö,

nachdem ich nach ein paar stunden schlaf nochmals das Forum durchsucht hatte, bin ich doch glatt auf mehrere ähnliche Probleme gestoßen. Sorry das ich deswegen nochmal einen Threat aufgemacht hab. ;)

Aber nun zum meinem ehmaligen Problem. Ich hatte mir heute dann verschiedene AntiViren Programme noch runtergeladen und sie drüber laufen lassen. Unter anderem auch Kaspersky. Diese fand dann auch schnell die Übeltäter und löschte sie und verlangte dann einen neustart. ;)

Allerdings lief danach alles im schneckentempo und die Internetverbindung ging nicht mehr. Da der Rechner zur Arbeit gebraucht wird und ich nicht ewig Zeit hatte... ;)

Lange rede, kurzer Sinn.
Windows neuinstalliert und nun happy mit dem sauberen System :yo

Gruß
Chezza
Dieser Beitrag wurde am 14.07.2006 um 18:34 Uhr von Chezza editiert.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: