evtl unbekannter Trojaner?

#0
17.06.2007, 22:31
Member

Beiträge: 135
#1 Hi@all


ich hab seit ca drei Tagen ein kleines Problem mit einem Virus/Trojaner/Backdoor ... es ist so...sobald ich mich ins I-Net einwähle installiert sich ein Trojaner oder was auch immer....das habe ich festgestellt indem ich jedesmal wenn das surfen nicht mehr so recht ging und alles langsamer geworden ist reset gemacht hab und im abgesicherten Modus Escan laufen lies der sagte mir folgendes:

Zitat

Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Object "trojan-downloader.bat.ftp.ab Trojan-Downloader" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Entry "HKCR\CLRMetaData.CorMetaDataDispenser" verweist auf das ungültige Objekt "{E5CB7A31-7512-11D2-89CE-0080C792E5D8}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Entry "HKCR\CLRMetaData.CorMetaDataDispenserRuntime" verweist auf das ungültige Objekt "{1EC2DE53-75CC-11d2-9775-00A0C9B4D50C}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Entry "HKCR\CLRMetaData.CorRuntimeHost" verweist auf das ungültige Objekt "{CB2F6723-AB3A-11d2-9C40-00C04FA30A3E}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Entry "HKCR\JavaPlugin.160_01" verweist auf das ungültige Objekt "{5852F5ED-8BF4-11D4-A245-0080C6F74284}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
Entry "HKCR\System.EnterpriseServices.RegistrationHelperTx" verweist auf das ungültige Objekt "{9E31421C-2F15-4F35-AD20-66FB9D4CD428}". Folgende Maßnahme wurde durchgeführt: Einträge entfernt.
soweit so gut....als ich dann Windows normal startete hab ich Spyware Doctor laufen lassen der wiederum fand folgende Trojaner:

Worm.Viking
BlackWorm
Trojan.Proxy.Ranky.GI

so wie ich das sehe krieg ich jedesmal wenn ich ins Internet geh den "Trojan Downloader" auf die Platte, der wiederum die anderen 3 runterläd :S....keine Ahnung warum das so ist und wo der herkommt bzw wo die Quelle ist.Ich kann auch noch die Logs von Hijack this und gmer posten falls das hilft.


hier mal die Log von Hijackthis:

Zitat

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 22:22:30, on 17.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\PROGRA~1\eScan\AVPMWrap.EXE
C:\Programme\Spy Doctor\swdoctor.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\PROGRA~1\eScan\MAILDISP.EXE
C:\PROGRA~1\ESCAN\SPOOLER.EXE
C:\PROGRA~1\eScan\MAILSCAN.EXE
C:\PROGRA~1\eScan\vista\ScanningProcess.exe
C:\PROGRA~1\eScan\AvpM.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\PROGRA~1\eScan\avpm.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
C:\WINDOWS\system32\HPZipm12.exe
C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWAgent.exe
C:\Programme\Spy Doctor\sdhelp.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Avant Browser\avant.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Windows NT\Zubehör\WORDPAD.EXE
C:\Dokumente und Einstellungen\Administrator\Desktop\HiJackThis_v2.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYDOC~1\tools\iesdsg.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\PROGRA~1\SPYDOC~1\tools\iesdpb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [eScan Monitor] C:\PROGRA~1\eScan\AVPMWrap.EXE
O4 - HKLM\..\Run: [MailScan Dispatcher] C:\PROGRA~1\eScan\LAUNCH.EXE
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spy Doctor\swdoctor.exe" /Q
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\PROGRA~1\SPYDOC~1\tools\iesdpb.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/partner/de/kavwebscan_unicode.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{EBE4EC3E-0B4C-45C0-B72C-027BCB3785C5}: NameServer = 217.237.151.142 217.237.150.188
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: eScan Monitor Service (KAVMonitorService) - Kaspersky Labs. - C:\PROGRA~1\eScan\avpm.exe
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\PROGRA~1\GEMEIN~1\MICROW~1\Agent\MWASER.EXE
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Spyware Doctor (SDhelper) - Unknown owner - C:\Programme\Spy Doctor\sdhelp.exe
O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programme\Windows Live\installer\WLSetupSvc.exe

--
End of file - 5313 bytes
ich hoffe mir kann jemand helfen ich werd langsam wahnsinnig.
Dieser Beitrag wurde am 17.06.2007 um 22:38 Uhr von wolverine26 editiert.
Seitenanfang Seitenende
17.06.2007, 22:51
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#2 Ach ja,eScan
Benutze ich auch seit Jahren ;)
Wenn man ein Quickscan macht findet eScan bei mir auch immer diese einträge
Bei eine Fullscan aber nicht ;)
Sind also "False Positive" Er findet etwas was gar nicht da ist
Und wo findet Spyware Doctor Trojan.Proxy.Ranky.GI auch im System?
__________
MfG Argus
Seitenanfang Seitenende
18.06.2007, 11:51
Member

Themenstarter

Beiträge: 135
#3 ja aber trotzdem hab ich irgendwas drauf das mit der Zeit meine Verbindung lahm macht. Und ich dann garnicht mehr surfen kann nach wenigen Minuten, weils keine Seite mehr anzeigt/findet.
Dieser Beitrag wurde am 18.06.2007 um 12:06 Uhr von wolverine26 editiert.
Seitenanfang Seitenende
18.06.2007, 15:08
Ehrenmitglied
Avatar Argus

Beiträge: 6028
#4 Wir haben hier eine schöne Anleitung wird leider wenig gelesen
http://board.protecus.de/t23188.htm

Wurde deine Verbindung lahm nachdem die neue Version von eScan installiert wurde?
Oder war es vorher auch schon so
__________
MfG Argus
Seitenanfang Seitenende
18.06.2007, 16:53
Member

Themenstarter

Beiträge: 135
#5 ich probiers mal aus indem ich mal escan runterschmeiss.
Seitenanfang Seitenende
Um auf dieses Thema zu ANTWORTEN
bitte erst » hier kostenlos registrieren!!

Folgende Themen könnten Dich auch interessieren: