Hallo ich hab ein Trojaner der immer wiederkommt

Mach mal ein Logfile mit Hijackthis , lad dir es hier herunter:

Hijackthis

Dann starte es , klick " Do a system scan and save a logfile" und dann kopier den Log ohne Veränderungen hier rein.

Hey Dr. Know!

Hey Du bist voll lieb. Erstmal riesiges Dankeschön das Du mir helfen willst und ein bissle Zeit hast.

hey ich wollt Dir noch sagen: Ich weiß fei, was ein hjthis ist und ein scan weiß ich auch. hat mir letzte woche ein kumpel auch hier aus dem forum erklärt.

Also, warte kurz, ich mach das jetzt mal. Bis gleich!

jo bis gleich

 

Hey!

Sobald ich in das Hjackthis reingeh und einen Scan mache, zeigt Antivir den Trojaner auch an. Ich tu dann immer löschen, aber es kommt ja dann doch wieder.

Hey kannst Du vielleicht was da draus lesen was nich okay is???





Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:58:47, on 28.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared Files\RichVideo.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe
C:\Program Files\CyberLink\PowerCinema\PCMService.exe
C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\LXSUPMON.EXE
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\PROGRA~1\MESSEN~1\Msmsgs.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Dokumente und Einstellungen\markus\Eigene Dateien\HiJackThis202.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/fsc/
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe"
O4 - HKLM\..\Run: [{1290A33C-85F5-4164-A1BE-7DD299D4986A}] "C:\Program Files\CyberLink\PowerBackup\PBKScheduler.exe"
O4 - HKLM\..\Run: [PCMService] "C:\Program Files\CyberLink\PowerCinema\PCMService.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe"  -osboot
O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\2\printray.exe
O4 - HKLM\..\Run: [LXSUPMON] C:\WINDOWS\system32\LXSUPMON.EXE RUN
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "c:\PROGRA~1\MESSEN~1\Msmsgs.exe" /background
O4 - HKCU\..\Run: [Yahoo! Pager] "C:\Programme\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [WMPNSCFG] C:\Programme\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: ATI CATALYST System Tray.lnk = C:\Programme\ATI Technologies\ATI.ACE\CLI.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1146667868048
O17 - HKLM\System\CCS\Services\Tcpip\..\{BF5628CE-2461-48DC-81EA-50BB6108A951}: NameServer = 217.237.150.205 217.237.149.142
O17 - HKLM\System\CCS\Services\Tcpip\..\{FC030868-5F67-4E9A-A0FA-C73D834F0861}: NameServer = 192.168.10.1
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Program Files\CyberLink\PowerCinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program Files\CyberLink\PowerCinema\Kernel\CLML_NTService\CLMLServer.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - The Firebird Project - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 7652 bytes
 

Kann man in dem Logfile vielleicht irgendwas erkenn was das Virus sein könnt??

Vielen lieben Dank auch wenn Du Dir das ma anschauen könntest .

Hallo,

in deinem Logfile ist nichts auffälliges zu erkennen!

 

Hey Deniz!

Schön Dich wieder zu sehen. Du hast mir letztes Mal voll geholfen das Virusschlacht weg zumachen. (mit Killbox)

Aber ich hab jetzt ein neues Trojaner.

TR/Dldr.Agent.hkb

und ist im Ordner:

C:\WINDOWS\system32\AppCert\wsil32.dll

Hast Du eine Idee wie ich den wegmachen könnt??


Ich hab den Ordner vorher in die Killbox rein und wollte DELETE machen, aber Killbox sagen: "FILE COULD NOT BE DELETE!"

Mist


 

In deinem Log ist nichts auffälliges , lade diese Datei mal bei www.virustotal.com hoch und poste das Ergebniss dann hier:

C:\WINDOWS\system32\AppCert\wsil32.dll

Dass selbe wollte ich auch grad schreiben .

Könnte auch ein Fehlalarm sein,muss aber nicht!

Dass selbe wollte ich auch grad schreiben .

Wart ich wollt Euch noch was zeigen.

Ich war grad im system32 und hab das da gesucht.

Das ist da dinn!

Das ist ein Winlogon Startup Initiallization Library

Weiß nich....

Okay ich guck jetzt mal das was Dr. Know sagt an: www.virustotal.com

Mal sehen ob das geht, meld mich gleich

Hääää?

Das hat nich geklappt.

Es kam 0 bytes size received / Se ha recibido un archivo vacio

Hab ich was falsch gemacht beim hochladen?

Übrigens während des Virustotal hochladen kamen wieder 3-4 Antivir Anzeigen dass ich den Trojaner löschen muß (was ich dann jedesmal mach, klar)

Ne hast nix falsch gemacht. Das heißt dass die Datei 0 Byte hat  .Kill sie mit Killbox. (nicht den ganzen Ordner)

Danach mach en Komplettscan mit einem Online Scanner such dir einen aus:

Panda:
http://www.pandasoftware.com/activescan/...n_principal.htm

A-squared:
http://www.emsisoft.com/en/software/ax/

F-secure:
http://support.f-secure.de/ger/home/ols.shtml

Kaspersky:
http://www.kaspersky.com/de/virusscanner

gruß deniz

Hey Deniz ich hab das C:\WINDOWS\system32\AppCert\wsil32.dll vorher schon in die Killbox reingetan.

Das killt nicht!

ohne Witz!

Es kommt FILE COULD NOT BE DELETE

Danach kann ich nix mehr bewegen, alle Desktop-Symbole weg

Dann hab ich PC hinten ausgeschaltet, wieder angemacht, und Ordner wsil32.dll war natürlich immernoch da.

Komisch ist auch: Das wsil32.dll im system32 wenn ich kuck: Hat 24 Kilobyte

und Virustotal sagt: 0 Kilobyte. Vielleicht hat Virustotal das garnicht hochgeladen.

Es kamen ja 3-4mal die Antivir Warnungen??

Soll ich nochmal Killbox probieren, oder, was meinst?