Kladderadatsch
2004-08-18, 16:53:42
hi,
genau diesen trojaner bekomme ich nicht mehr von der platte. in diversen foren stehen zwar lösungswege, die allerdings nicht funktionieren(die dateien, die gelöscht werden müssen, gibt es bei mir garnicht). angeblich kann bisher ausschließlich antivir mit dem trojaner fertig werden, bzw. erkennen. das tat es auch und löschte die datei. doch taucht weiterhin alle paar stunden die trojaner-meldung auf, bzw. er wird gelöscht...
hattet ihr das problem auch schon, bzw. wisst ihr, wie man den löschen kann?
hier noch ein scan von hijack, der das problem vll verdeutlicht^^
Scan saved at 16:51:28, on 18.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Mozilla\mozilla\mozilla.exe
D:\Programme\eMule\emule.exe
D:\sicherungen\Verschiedenes2\HijackThis.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{37B179DF-4FBA-46A0-8D81-261155290B13}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{37B179DF-4FBA-46A0-8D81-261155290B13}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{37B179DF-4FBA-46A0-8D81-261155290B13}: NameServer = 192.168.2.1
und hier noch ein kleiner auszug aus der antivir-reportdati, damit ihr mir glaubt, wie nervig das ist...
18.08.2004,08:13:42 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaadaa5.
18.08.2004,10:41:56 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\DOKUMENTE UND EINSTELLUNGEN\HANNES\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\F12OYWXP\M[1].BIN
[INFO] Die Datei wurde gelöscht!
18.08.2004,10:42:00 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\WINDOWS\SYSTEM32\PBB.DLL
[INFO] Die Datei wurde gelöscht!
18.08.2004,15:11:03 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP42\A0013888.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:11:05 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP44\A0013974.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:11:05 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP44\A0013977.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:11:06 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP47\A0014019.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:40:58 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP18\A0007953.DLL
[INFO] Die Datei wurde gelöscht!
18.08.2004,15:41:05 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP23\A0008529.DLL
[INFO] Die Datei wurde gelöscht!
ps.: umgottes willen; ich sehe gerade, das ding sitzt wahrscheinlich auf D: ! und wo dort?!?
genau diesen trojaner bekomme ich nicht mehr von der platte. in diversen foren stehen zwar lösungswege, die allerdings nicht funktionieren(die dateien, die gelöscht werden müssen, gibt es bei mir garnicht). angeblich kann bisher ausschließlich antivir mit dem trojaner fertig werden, bzw. erkennen. das tat es auch und löschte die datei. doch taucht weiterhin alle paar stunden die trojaner-meldung auf, bzw. er wird gelöscht...
hattet ihr das problem auch schon, bzw. wisst ihr, wie man den löschen kann?
hier noch ein scan von hijack, der das problem vll verdeutlicht^^
Scan saved at 16:51:28, on 18.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RUNDLL32.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Logitech\MouseWare\system\em_exec.exe
C:\Programme\ICQLite\ICQLite.exe
D:\Programme\Mozilla\mozilla\mozilla.exe
D:\Programme\eMule\emule.exe
D:\sicherungen\Verschiedenes2\HijackThis.exe
F0 - system.ini: Shell=
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{37B179DF-4FBA-46A0-8D81-261155290B13}: NameServer = 192.168.2.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{37B179DF-4FBA-46A0-8D81-261155290B13}: NameServer = 192.168.2.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{37B179DF-4FBA-46A0-8D81-261155290B13}: NameServer = 192.168.2.1
und hier noch ein kleiner auszug aus der antivir-reportdati, damit ihr mir glaubt, wie nervig das ist...
18.08.2004,08:13:42 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaaadaa5.
18.08.2004,10:41:56 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\DOKUMENTE UND EINSTELLUNGEN\HANNES\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\F12OYWXP\M[1].BIN
[INFO] Die Datei wurde gelöscht!
18.08.2004,10:42:00 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\WINDOWS\SYSTEM32\PBB.DLL
[INFO] Die Datei wurde gelöscht!
18.08.2004,15:11:03 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP42\A0013888.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:11:05 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP44\A0013974.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:11:05 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP44\A0013977.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:11:06 [WARNUNG] AVGuard fand in der folgenden Datei ein Problem:
D:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP47\A0014019.EXE
[INFO] Diese ausführbare Datei hat eine ungültige Startadresse!
18.08.2004,15:40:58 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP18\A0007953.DLL
[INFO] Die Datei wurde gelöscht!
18.08.2004,15:41:05 [WARNUNG] Ist das Trojanische Pferd TR/StartPage.IX!
C:\SYSTEM VOLUME INFORMATION\_RESTORE{232BA66C-2729-4083-8B87-599CC671CB34}\RP23\A0008529.DLL
[INFO] Die Datei wurde gelöscht!
ps.: umgottes willen; ich sehe gerade, das ding sitzt wahrscheinlich auf D: ! und wo dort?!?