trojaner

R@st@ · 21.03.2004, 19:21

hallo0 zusammen
hab ein problem mit einem trojaner namens "download.trojan"

der versteckt sich in der winlogon.exe norton erkennt ihn,aber kann in nicht löschen.
google findet nix des logfile schaut auch harmlos aus
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\WINDOWS\Mixer.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System\winlogon.exe
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Norton AntiVirus\navapsvc.exe

C:\Programme\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.at/html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.at/.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.at/.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.at.html
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winlogon.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Download All Files by HiDownload - C:\Programme\HiDownload\HDGetAll.htm
O8 - Extra context menu item: Download by HiDownload - C:\Programme\HiDownload\HDGet.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: HiDownload (HKLM)
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

wer weiß rat ?
R@st@

mausbull · 21.03.2004, 19:30

ad-aware und spybot schon probiert?

steht in den autostarteinträgen in der registry was drinnen?

mfg
mausbull

R@st@ · 21.03.2004, 20:32

nein steht auch nix ungewöhnliche drinnen
spybot findet auch nix
ratloser rasta

Mike EDDT · 22.03.2004, 00:19

Schau mal hier:

http://securityresponse.symantec.com...ad.trojan.html

Gruß
Mike

panda41 · 22.03.2004, 10:13

Hast du keine Firewall wie ZoneAlarm installiert?
Normalerweise müssen alle Programme da fragen, ob sie ins Internet dürfen.

Frage an die Experten: Oder können diese Trojaner eine Firewall umgehen?

R@st@ · 22.03.2004, 13:48

nein,ich hab aber das volle norton proggi.
der findet es zwar aber kann es nicht löschen !
grml.

panda41 · 22.03.2004, 14:11

Schau doch mal hier, ob du da eine Lösung findest:

http://www.tu-berlin.de/www/software/antivirus.shtml

Eine Firewall solltest du unbedingt einrichten. Die von ZoneLabs (Zonealarm) kostet ja auch nichts.

Foxi · 22.03.2004, 14:30

Ist doch normal das Norton ihn nicht löschen kann so lange er aktiv im System werkelt. Beende mal den Task winlogon. Danach kann Norton oder du selbst das Teil killen. Steht im Windows-Verzeichnis drin (winlogon.exe) Wenn du die Datei selbst eleminierst vergess nicht den Aufruf dazu auch zu löschen.

Gruss Foxi

R@st@ · 24.03.2004, 23:15

danke leute,hab im safe boot des häusel wegbekommen.
lg. rasta

21.03.2004, 19:21	#1
R@st@ Jr. Member Registriert seit: 29.09.2000 Beiträge: 26	trojaner hallo0 zusammen hab ein problem mit einem trojaner namens "download.trojan" der versteckt sich in der winlogon.exe norton erkennt ihn,aber kann in nicht löschen. google findet nix des logfile schaut auch harmlos aus Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe C:\Programme\Norton Internet Security\NISUM.EXE C:\WINDOWS\Mixer.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe C:\Programme\Winamp\winampa.exe C:\WINDOWS\System32\ctfmon.exe C:\WINDOWS\System\winlogon.exe C:\Programme\Norton Internet Security\ccPxySvc.exe C:\Programme\Norton AntiVirus\navapsvc.exe C:\Programme\Internet Explorer\iexplore.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.google.at/html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.google.at/.html R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.google.at/.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.at.html O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [ccRegVfy] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [System Update] C:\WINDOWS\System\winlogon.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Download All Files by HiDownload - C:\Programme\HiDownload\HDGetAll.htm O8 - Extra context menu item: Download by HiDownload - C:\Programme\HiDownload\HDGet.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: HiDownload (HKLM) O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab wer weiß rat ? R@st@ ____________________________________ Born To Loose ..so.. Live To Win

21.03.2004, 20:32	#3
R@st@ Jr. Member Registriert seit: 29.09.2000 Beiträge: 26	nein steht auch nix ungewöhnliche drinnen spybot findet auch nix ratloser rasta ____________________________________ Born To Loose ..so.. Live To Win

22.03.2004, 10:13	#5
panda41 Master Registriert seit: 10.11.2002 Beiträge: 585	Hast du keine Firewall wie ZoneAlarm installiert? Normalerweise müssen alle Programme da fragen, ob sie ins Internet dürfen. Frage an die Experten: Oder können diese Trojaner eine Firewall umgehen? ____________________________________ Viele Grüße Gert

22.03.2004, 13:48	#6
R@st@ Jr. Member Registriert seit: 29.09.2000 Beiträge: 26	nein,ich hab aber das volle norton proggi. der findet es zwar aber kann es nicht löschen ! grml. ____________________________________ Born To Loose ..so.. Live To Win

22.03.2004, 14:11	#7
panda41 Master Registriert seit: 10.11.2002 Beiträge: 585	Schau doch mal hier, ob du da eine Lösung findest: http://www.tu-berlin.de/www/software/antivirus.shtml Eine Firewall solltest du unbedingt einrichten. Die von ZoneLabs (Zonealarm) kostet ja auch nichts. ____________________________________ Viele Grüße Gert

21.03.2004, 19:30	#2
mausbull Master Registriert seit: 02.09.2001 Beiträge: 538	ad-aware und spybot schon probiert? steht in den autostarteinträgen in der registry was drinnen? mfg mausbull

22.03.2004, 00:19	#4
Mike EDDT Master Registriert seit: 16.04.2002 Alter: 74 Beiträge: 748	Schau mal hier: http://securityresponse.symantec.com...ad.trojan.html Gruß Mike

22.03.2004, 14:30	#8
Foxi Veteran Registriert seit: 14.09.2002 Alter: 59 Beiträge: 390	Ist doch normal das Norton ihn nicht löschen kann so lange er aktiv im System werkelt. Beende mal den Task winlogon. Danach kann Norton oder du selbst das Teil killen. Steht im Windows-Verzeichnis drin (winlogon.exe) Wenn du die Datei selbst eleminierst vergess nicht den Aufruf dazu auch zu löschen. Gruss Foxi

24.03.2004, 23:15	#9
R@st@ Jr. Member Registriert seit: 29.09.2000 Beiträge: 26	..... danke leute,hab im safe boot des häusel wegbekommen. lg. rasta ____________________________________ Born To Loose ..so.. Live To Win

Aktive Benutzer in diesem Thema: 1 (Registrierte Benutzer: 0, Gäste: 1)