habe trojanisches pferd aufm pc- wer kann helfen? Einstellungen

[noel_gallagher]

hallo
ich bekomme alle 5 minuten 3 meldungen von avast und eine von antivir wo mir mitgeteilt wird dass ich ein trojanisches pferd aufm pc habe. glücklicherweise kann es ihn abwehren jedoch möchte ich wissen was da überhaupt los ist und wie ich das problem lösen kann...
das sind die namen der malware:

Win32:Agent-IU [Trj]

Win32:Small-EK [Trj]

Win32:Adan-078 [Adw]

die meldung von antivir gibt keine auskunft über den namen der malware...

da ich keine ahnung von viren und mich allgemein mit dem pc nicht so gut auskenne hoffe ich dass mir hier jemand weiterhelfen kann

vielen dank!

[raman]

Poste einfach ein Hijackthis log und einen Report von Avast und antivir, wo sie etwas vermuten.
http://www.cidres-security.de/hijackthis.html

[Gast_rock_*]

lösch einmal alle temporären intenetfiles incl der offlineinhalte. wenn du den ccleaner hast am besten damit analysieren/starten...fertig.

dann im abgesicherten modus nocheinmal mit deinen scannern arbeiten.

oder du postest erstmal WO gemeldet wird, und welches betriebsystem du hast!

rock

edit: oder gleich den log von hijackthis...

ums andere wirst du aber nicht herumkommen...

Der Beitrag wurde von rock bearbeitet: 29.04.2006, 14:23

[Voyager]

Hast du schon nach den AV scanner ausgaben gegoogelt und hast du auch nachgesehen welche Datei genau da angemeckert wird ? wenn wir dir jetzt sagen "Ja lösch mal..." dann könnte ein Fehlalarm nach hinten losgehen.

[noel_gallagher]

hi,
erstmal danke für die vielen antworten!! Also hier ist der Hijackthis log: (hoffe ich habe das richtig gemacht...)
vielleicht sollte ich auch erwähnen das das problem nur auftaucht wenn ich online bin.



Logfile of HijackThis v1.99.1
Scan saved at 08:36:32, on 02.05.2006
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\mspmspsv.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Microsoft IntelliType Pro\type32.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\ACD Systems\EN\DevDetectPE.exe
C:\WINNT\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINNT\system32\internat.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpoevm08.exe
C:\Programme\Hewlett-Packard\Digital Imaging\Bin\hpoSTS08.exe
C:\WINNT\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.stol.it/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.dolomiten.it/
R3 - URLSearchHook: (no name) - {0428FFC7-1931-45b7-95CB-3CBB919777E1} - (no file)
O1 - Hosts: localhost 127.0.0.1
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [type32] "C:\Programme\Microsoft IntelliType Pro\type32.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [AltnetPointsManager] c:\program files\altnet\points manager\points manager.exe -s
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Device Detector PE] DevDetectPE.exe -autorun
O4 - HKLM\..\Run: [AdslTaskBar] rundll32.exe stmctrl.dll,TaskBar
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - Global Startup: AudioDeck.lnk = C:\Programme\VIA Technologies, Inc\VIA Audio Driver Setup Program\AudioDeck\AudioDeck.exe
O4 - Global Startup: hp psc 2000 Series.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe
O4 - Global Startup: hpoddt01.exe.lnk = C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -
O16 - DPF: {DB893839-10F0-4AF9-92FA-B23528F530AF} - http://deposito.hostance.net/dialer/1013642.exe
O16 - DPF: {FC67BB52-AAB6-4282-9D51-2DAFFE73AFD0} - http://download.spyspotter.com/spyspotter/...rcabinstall.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{B7B4A9C4-A6A6-4642-B5B6-166630D46EF5}: NameServer = 85.255.115.117 85.255.112.184
O17 - HKLM\System\CCS\Services\Tcpip\..\{CDEC938E-7A6F-44AB-B971-5455B3F62D2C}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS1\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O17 - HKLM\System\CS2\Services\Tcpip\..\{1DB439AE-897A-45C1-B2DF-D86310D664E4}: NameServer = 85.255.115.117,85.255.112.184
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe



die funde der av-prüfung: hoffeauch hier dass ich das richtige gepostet habe...

C:\WINNT\system32\favset.exe
[FUND] Ist das Trojanische Pferd TR/Click.Small.KG
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44c947af.qua' verschoben!
C:\WINNT\system32\howiper.exe
[FUND] Ist das Trojanische Pferd TR/Small.HL
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '44ca47c6.qua' verschoben!

[Voyager]

wenn du keine Symantec Software drauf hast dann fixe das mal mit
O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
das dürften die bösen buben sein, geh in den abgesicherten modus und fixe das , bei bedarf die dateien extra noch löschen.

schicke die beiden letzteren dateien in deinem post mal bei http://virusscan.jotti.org/de/ und lasse sie darüber scannen und identifizieren.

Der Beitrag wurde von bond7 bearbeitet: 02.05.2006, 08:39

[noel_gallagher]

@bond

tut mir leid aber ich habe kein wort verstanden

was heist "fixe das mal mit O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe /Consumer "

was soll ich da machen?? wie soll ich das fixen??


und was heist das?
"O4 - HKLM\..\Run: [vqnwjiz] C:\WINNT\vqnwjiz.exe
O4 - HKLM\..\Run: [hgqhp.exe] C:\WINNT\system32\hgqhp.exe
das dürften die bösen buben sein, geh in den abgesicherten modus und fixe das , bei bedarf die dateien extra noch löschen. "

wie soll ich das im abesicherten modus fixen? wie macht man das?
und wieso soll ich die letzten beiden dateien zu dem link schicken? was bringt mir das?

ich glaube du hast gemerkt dass ich total ahnungslos bin, bitte habe geduld mit mir

danke

[Gast_Jens1962_*]

Eintrag markieren und "fix checked" drücken.
Hast Du noch Software von Symantec auf dem Rechner? Dann könnte dieser Eintrag durchaus richtig sein.
abgesicherter Modus
Vorher diese Dateien zu der angegebenen Adresse schicken und das Ergebnis mal hier reinkopieren.
Nach dem fixen nachsehen, ob die Dateien unter dem angegebenen Pfad noch zu finden sind (Windows-Explorer), wenn ja, dann löschen.

Gruß Jens

Der Beitrag wurde von Jens1962 bearbeitet: 02.05.2006, 10:47

[noel_gallagher]

ich habe noch software von symantec aufm rechner. muss ich jetzt etwas anders machen?

ok was soll ich unter fixen verstehen? wenn ich im abgesicherten modus bin was soll ich dann genau machen?

ich habe versucht die dateien zu der adresse zu schicken habe sie aber nicht auf meinem rechner gefunden und konnte sie deshalb nicht schicken... was soll das bedeuten??



Der Beitrag wurde von noel_gallagher bearbeitet: 02.05.2006, 11:01

[Gast_Jens1962_*]

ich habe noch software von symantec aufm rechner. muss ich jetzt etwas anders machen?

Ja, den Eintrag in Ruhe lassen.

ich habe versucht die dateien zu der adresse zu schicken habe sie aber nicht auf meinem rechner gefunden[right][snapback]146185[/snapback][/right]

Öffne mal den Windows-Explorer, Extras-->Ordneroptionen-->Ansicht.
Mache den Haken bei "Geschützte Systemdateien..." weg und setze den Haken bei "Inhalte von Systemordnern..." und den Punkt bei "Alle Dateien und Odner...".
Dann suchst Du nochmal.

Jens

edit: Hast Du das hier gelesen?

Der Beitrag wurde von Jens1962 bearbeitet: 02.05.2006, 11:21

[Mopao]

@noel_gallagher

Au deinem PC befindet sich wareout Rootkit Trojaner,der aktiv ist

Gruss
Mopao

[noel_gallagher]

Ja, den Eintrag in Ruhe lassen.Öffne mal den Windows-Explorer, Extras-->Ordneroptionen-->Ansicht.
Mache den Haken bei "Geschützte Systemdateien..." weg und setze den Haken bei "Inhalte von Systemordnern..." und den Punkt bei "Alle Dateien und Odner...".
Dann suchst Du nochmal.

Jens

edit: Hast Du das hier gelesen?
[right][snapback]146189[/snapback][/right]

"Inhalte von Systemordnern..."steht bei mir nicht...
nein ich habe das nicht gelesen aber ich habe die beschreibung von hijackthis aufm link den raman gepostet hat gelesen. ich hoffe das reicht aus

@mopao: danke für die info. und wie bekomme ich ihn jetzt weg??

[Mopao]

@mopao: danke für die info. und wie bekomme ich ihn jetzt weg??

Poste mal dein aktuelle HijackThis Log

Gruss
Mopao

[noel_gallagher]

den habe ich ja schon gepostet: er ist weiter oben...

[Gast_Phoinix_*]

Sach mal Noel, hast du 2 Virenscanner am laufen?

[noel_gallagher]

ja, ist das nicht gut? avast und antivir

Der Beitrag wurde von noel_gallagher bearbeitet: 02.05.2006, 14:42

[Catweazle]

ja, ist das nicht gut? avast und antivir
[right][snapback]146213[/snapback][/right]

Das ist eben nicht gut, deinstalliere mal Avast, und lasse nur mal Antivir laufen.

Und poste aber erstmal ein frisches HijackThis Log.

Catweazle

[Gast_Phoinix_*]

Nein, da sich die Hintergrundwächter gegenseitig "stören" können. Du kannst schon 2 AV Programme auf deinem Rechner haben, nur sollte nicht beide mit aktivem Wächter sein.
D.h. für dich, schalte z.b. bei Avast den Hintergrundwächter aus, geht ja ganz einfach.

[Catweazle]

@ Phoinix

Entschuldigung.

Catweazle

[Gast_Phoinix_*]

@ Phoinix
Entschuldigung.
[right][snapback]146223[/snapback][/right]

Für was denn, Cati?