hallo.

antivir wirft mir folgendes seit einiger zeit aus:
es müsste sich, so weit ich das verstehe, um einen trojaner im papierkorb handeln - dort ist aber keine datei, der ist leer!!!! drunter poste ich noch das hijacklog. bitte um hilfe, danke!

C:\RECYCLER\S-1-5-21-1715567821-1390067357-682003330-500
Dc1.cab
ArchiveType: CAB (Microsoft)
--> alchem.exe
[FUND!] Ist das Trojanische Pferd TR/Dldr.Alchemic
Dc2.cab
ArchiveType: CAB (Microsoft)
--> preInsTT.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
--> polall1m.exe
[FUND!] Enthält Signatur des Wurmes Worm/Rbot.IQ.03
Dc3.cab
ArchiveType: CAB (Microsoft)
--> ISTactivex.dll
[FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.PT
Dc4.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
Dc5.cab
ArchiveType: CAB (Microsoft)
--> preInsTT.exe
Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt.
--> polall1m.exe
[FUND!] Enthält Signatur des Wurmes Worm/Rbot.IQ.03
Fehler beim Wechsel in das Verzeichnis System Volume Information



-----------

Logfile of HijackThis v1.99.1
Scan saved at 17:59:15, on 02.03.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
F:\Sygate Firewall Platinum\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
F:\programme\quicktime\qttask.exe
F:\Programme\Creative\SB Live 24 Bit\Surround Mixer\CTSysVol.exe
C:\WINDOWS\System32\RunDll32.exe
F:\Programme\Norton Ghost\Agent\GhostTray.exe
F:\AntiVir\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
F:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
F:\AntiVir\AVGUARD.EXE
F:\AntiVir\AVWUPSRV.EXE
C:\WINDOWS\System32\CTsvcCDA.EXE
C:\WINDOWS\System32\GEARSec.exe
F:\Programme\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - F:\PROGRA~1\ASHAMP~1\PopUp.dll
O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [rkkikngsx] C:\WINDOWS\System32\tluojyne.exe
O4 - HKLM\..\Run: [SmcService] F:\SYGATE~1\smc.exe -startgui
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [CTSysVol] F:\Programme\Creative\SB Live 24 Bit\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Norton Ghost 9.0] F:\Programme\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\AntiVir\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] F:\PROGRA~1\ASHAMP~1\PopUpKiller.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\NPJava142_04.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\NPJava142_04.dll (file missing)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\AntiVir\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\AntiVir\AVWUPSRV.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE
O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Norton Ghost - Symantec Corporation - F:\Programme\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - F:\Sygate Firewall Platinum\smc.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe

du hast einen rbot auf dem system.
dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig.
installiere windows neu und beachte diese Anleitung

uououo, verdammt.

warte mal. danke für deine hilfe, aber:

a.) was ist ein rbot? was tut er?
b.) kann ich das nicht irgendwie anders lösen? kann das system nicht neu installieren, das wäre zu aufwändig...

na das ist der hier
mal ein kleiner auszug was der alles so macht:

Zitat:

Ermöglicht Dritten den Zugriff auf den Computer
Stiehlt Daten
Lädt Code aus dem Internet herunter
Reduziert die Systemsicherheit
Speichert Tastenfolgen
Installiert sich in der Registrierung

man könnte ihn entfernen aber keiner kann jemals nachvollziehen das nicht durch den rbot bereits was am system verändert wurde.

Zitat:

Zitat von Chris14

man könnte ihn entfernen aber keiner kann jemals nachvollziehen das nicht durch den rbot bereits was am system verändert wurde.

wie könnte man ihn entfernen?

und was ich mir jetzt noch gedacht habe - sorry, ist vielleicht naiv: ich hab ja eine firewall - da merk ich doch, wenn jemand raus oder rein aus dem system will???

lg danke!

.... ich empfehle ausdrücklich den trojaner NICHT zu entfernen sondern NEUZUINSTALLIEREN. es gibt bei google genug lösungswege sowas zu entfernen. jedenfalls ist es bei einem backdoor zu riskant, mit dem system noch zu arbeiten.
zum thema firewall über das ich mich immer wieder richtig gerne auslassen werde^^:
-sie hat selbst sicherheitslücken
-gewöhnlicher user kann normale programme von trojaner nie und nimmer unterscheiden
-risikokompensation wie bei dir (der user denkt dann dass er alles machen kann was unsicher ist, denn er hat ja den alles-blocker könner TM)
-firewalls können problemlos umgangen werden
es gibt progs wie von www.ntsvcfg.de und www.dingens.org die windows gleich sicher konfigurieren und eine firewall überflüssig machen.

aha.

und warum hilft die firewall da nix?

Prüfe die folgende Datei (fall sie noch da ist) mal bitte bei Jotti´s maleware scan http://virusscan.jotti.org/

C:\WINDOWS\System32\tluojyne.exe

um die Papierkörbe einsehen zu können:

Systemdateien / Datei-Erweiterungen anzeigen lassen durch folgende Einstellungen :
Windows Explorer -> Reiter: "Extras/Ordneroptionen" -> Reiter: "Ansicht" -> Haken entfernen bei "Erweiterungen bei bekannten Dateitypen ausblenden" u. "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren ...... ok klicken und für alle Ordner übernehmen

dann unter c:\RECYCLER

@net bist du dir sicher das das noch sinn hat? lies mal:

Zitat:

--> polall1m.exe
[FUND!] Enthält Signatur des Wurmes Worm/Rbot.IQ.03

@ net.

äh, die datei ist laut windowssuche nicht mehr da... bedeutet das schlechtes???

in der ms-config hab ich sie aber noch unter "systemstart"

Zitat:

Zitat von Chris14

@net bist du dir sicher das das noch sinn hat? lies mal:

ich bin nicht anderer Meinung als du ich will da nix fixen, mich interessiert nur die Datei und ob er noch weitere Papierkörbe findet

aso^^ na dann is ja alles klar^^

Zitat:

Zitat von babylee

@ net.

äh, die datei ist laut windowssuche nicht mehr da... bedeutet das schlechtes???

in der ms-config hab ich sie aber noch unter "systemstart"

wie man es nimmt, folge der Anleitung die Chris dir gegeben hat (da du Ghost hast, sollte ein Image ja auch vorhanden sein)

net

hi danke erstmal für eure hilfe.
werde wohl formatieren

noch eine frage: wenn ich die images von ghost nehem - ist da nicht der trojaner auch wieder drauf??ß