Trojaner

Hallo liebe User vom Wintotal-Forum.de,
ich hab ihm moment ein ziemlich großes Problem und zwar hab ich seit heute ca 17 Uhr eine Datei im Task Manager die sich trojan.exe nennt.
Dieser name lässt leicht auf einen Trojaner deuten .
Hab jetzt alle möglichen Programme (Anti Vir,Ad Aware,BitDefender) durchlaufen lassen doch bis auf ein paar Cookies die Ad Aware ja immer findet ist nichts. Ich hab als Firewall Zone Alarm hab auch zur Sicherheit mal die Fixtools für Beagle und Soberm@nn durchlaufen lassen aber Fehlanzeige...

Wenn einer von euch zufälligerweise weiss wie ich diesen Trojaner wieder los werde der solle sich nicht Lumpen lassen , da ich in den Letzen 3 Monaten bestimmt schon 5 mal wegen irgendwelcher Viren formatiert habe und dies nicht ein weiteres mal tuen will.

Vielen Dank

verschoben von Windows XP

Schon mal von einer Boot CD gestartet (z.B Barts PeBuilder - ist mein Favorit) und mit dem darauf befindlichen McAfee gescannt? Oder schonmal Houscall (Online Virenscanner von Trend Micro) ausprobiert? Desweiteren könntest Du mal einen Blick in die Registry werfen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current Version\Run - da tragen sich Programme ein die beim Systemstart jedesmal starten sollen und hin und wieder machen das auch Programme die man gar nicht haben will

deaktivier auch mal die systemwiederherstellung, dann werden alle wiederherstellungspunkte gelöscht, falls der trojaner da drin sich verbirgt ist er auch weg. dann lass mal hijackthis laufen und stell das logfiele hier rein, dann können wir den bäsewicht eventuell entdecken. es könnte sich um diesen trojaner hier http://www.pestpatrol.com/PestInfo/b/bla.asp handeln ...

greetz

hugo

So er heißt jetzt nichtmehr trojan.exe sondern userinit.exe,bdss.exe,xcommsvr.exe und scarddsvr.exe

Diese namen hab ich gestern bei irgendeinen virus gesehen weiss nur nicht mehr welcher . Konnte alle programme bis auf vsmon.exe und lsass.exe und csrss.exe beenden (wow das werden immer mehr)



hab grad mal nachgeguckt die meisten teile sind ja normale anwendungen aber dieses xcommsvr.exe ist mir nicht ganz koscha



Edit 2:
Logfile of HijackThis v1.98.0
Scan saved at 09:07:06, on 29.07.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\PROGRA~1\ZONEAL~1\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\ntvdm.exe
c:\progra~1\t-online\browser\browser.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\downloads\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus.../*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://red.clientapps.yahoo.com/cus.../*http://www.yahoo.com/ext/search/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://red.clientapps.yahoo.com/customize/ie/defaults/sp/ymsgr6/*http://www.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://red.clientapps.yahoo.com/customize/ie/defaults/su/ymsgr6/*http://www.yahoo.com
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\PROGRA~1\Yahoo!\COMPAN~1\Installs\cpn\ycomp5_3_12_0.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [BDMCon] C:\Programme\Softwin\BitDefender Free Edition\\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\\bdnagent.exe
O4 - HKCU\..\Run: [MSMSGS] C:\Programme\Messenger\msmsgs.exe /background
O4 - HKCU\..\Run: [Steam] C:\Spiele\Steam\Steam.exe -silent
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - Global Startup: Reboot.exe
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra->Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra->Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\Programme\Yahoo!\Messenger\yhexbmes0521.dll
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra->Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra->Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {B9191F79-5613-4C76-AA2A-398534BB8999} (YAddBook Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/installs/suite/yautocomplete.cab
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D7718CC-E770-468D-A6CA-2798DFE8E43F}: NameServer = 217.237.151.225 194.25.2.129
O17 - HKLM\System\CS1\Services\Tcpip\..\{2D7718CC-E770-468D-A6CA-2798DFE8E43F}: NameServer = 217.237.151.225 194.25.2.129


HIJACK Log

die xcommsvr.exe gehört zum bitdefender, ansonsten hab ich nicht viel entdecken können, außer daß du das yahoo zeugs vielfach drin hast, und den

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file

kannst du fixen. dann sp1 und die updates nicht vergessen, dein system ist ja nach wie vor ungepatched ...

greetz

hugo

beinhalten die neusten patches auch die alten patches ?! also ich meine sind da noch die schutze von den vorigen mit drauf?

da das sp2 kurz vor dem erscheinen steht (anfang august) würde ich dir vorschlagen, bis dahin zu warten. wenn du das nicht willst, kannst du auch das sp1 installieren und anschließend den online-update, dann werden die fehlenden oder alten patches nochmal upgedatet. zu deiner frage: wenn ein neuer patch einen fehler in einem alten patch behebt, so wird der alte patch durch den neuen ersetzt ...

greetz

hugo

Jo, also deinem Log entnehme ich mal, daß du ein völlig ungepatchtes System hast und dich dann wunderst, daß du angreifbar bist. OK, muss ich ja nicht verstehen.

Und was dieser Eintrag im Log zu bedeuten hat, erschließt sich mir auch nicht ganz: O4 - Global Startup: Reboot.exe