Hallo Community,
ich habe seit 3 Tagen Probleme mit Trojanern auf meinem Computer und bin mir nicht sicher, ob ich sie alle entfernen konnte. Zu Beginn waren es TR/Agent.BQ.2 und TR/Agent.BI. Dann habe ich mir diverse Programme aus dem Internet heruntergeladen, in der Hoffnung, die Trojaner vernichten zu können.
Zum Schluss blieb nur noch immer der TR/Agent.BI übrig, den mir Antivir immer dann meldet, sobald ich ein neues Browserfenster mit dem IE öffne. Inzwischen benutze ich den Firefox-Browser, um nicht mehr ständig vor dem Problem zu stehen.
Ich habe mir eure Anleitung durchgelesen und
MWAV meinen Comp. scannen lassen. Dann habe ich diverse Dateien mit der Killbox gelöscht. Bei anderen Eintragungen bin ich mir aber nicht sicher, ob ich sie löschen darf, weshalb ich u.a. um eure Hilfe bitte.
Hier ist das Logfile vom mwav:
Zitat:
File System Found infected by "sw Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "CoolWebSearch Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "hsa Spyware/Adware" Virus. Action Taken: No Action Taken.
File System Found infected by "bearshare Spyware/Adware" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\mruninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\WINDOWS\mruninst.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\ONLINE\COMPSERV\CLIENTS\CS2000\_SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\brennen\SETUP.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
|
Und hier ist das Lofgile von HijackThis:
Zitat:
Logfile of HijackThis v1.99.1
Scan saved at 16:04:57, on 13.05.2005
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v5.51 (5.51.4807.2300)
Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\ATWTUSB.EXE
C:\WINDOWS\SYSTEM\MSMPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\TBLMOUSE.EXE
C:\WINDOWS\SYSTEM\atwtexe.exe
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\RESTORE\STMGR.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\LAUNCHER\CTLAUNCHER.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\AUDIOHQ\AHQTB.EXE
C:\PROGRAMME\LOGITECH\ITOUCH\ITOUCH.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\ZONE LABS\ZONEALARM\ZONEALARM.EXE
C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE
C:\PROGRAM FILES\E-COLOR\TRUE INTERNET COLOR\TICICON.EXE
C:\PROGRAMME\USB SHARING\USBSHARE.EXE
C:\PROGRAMME\INCREDIMAIL\BIN\IMAPP.EXE
C:\PROGRAMME\CREATIVE\SBLIVE\LAUNCHER\TASKGUIDE\UPDTRAY.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
G:\INSTALL\HIJACKTHIS\HIJACKTHIS.EXE
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = h**p=www-proxy.btx.dtag.de:80;ftp=ftp-proxy.btx.dtag.de:80
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [PCHealth] C:\WINDOWS\PCHealth\Support\PCHSchd.exe -s
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Creative Launcher] C:\PROGRAMME\CREATIVE\SBLIVE\LAUNCHER\CTLAUNCHER.EXE
O4 - HKLM\..\Run: [AudioHQ] C:\Programme\Creative\SBLive\AudioHQ\AHQTB.EXE
O4 - HKLM\..\Run: [PE2CKFNT SE] C:\Programme\Ulead Systems\Ulead Photo Express 2 SE\ChkFont.exe
O4 - HKLM\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKLM\..\Run: [zBrowser Launcher] C:\PROGRA~1\LOGITECH\iTouch\iTouch.exe
O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe -SetupRunOnce
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [*StateMgr] C:\WINDOWS\System\Restore\StateMgr.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKLM\..\RunServices: [MiniLog] C:\WINDOWS\SYSTEM\ZONELABS\MINILOG.EXE -service
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\SYSTEM\pmxinit.exe
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpySweeper] "C:\Programme\Webroot\Spy Sweeper\SPYSWEEPER.EXE" /0
O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE
O4 - Startup: ISDNWatch.lnk = C:\Programme\Teledat\IWatch.exe
O4 - Startup: Microsoft Office.lnk = C:\Programme\MsOffice\Office\OSA9.EXE
O4 - Startup: True Internet Color Icon.lnk = C:\Program Files\E-Color\True Internet Color\TICIcon.exe
O4 - Startup: USB Sharing.lnk = C:\Programme\USB Sharing\usbshare.exe
O4 - Global Startup: ZoneAlarm.lnk = C:\Programme\Zone Labs\ZoneAlarm\zonealarm.exe
|
Das ist das erste Mal in 5 Jahren, dass ich auf dem Comp. mit Trojanern in Berührung komme und merkwürdig ist für mich, dass mir Antivir gestern einen dritten Trojaner (TR/Dldr.Small.ats) meldete.
Kann es sein, dass ich nun durch den ersten Befall eine oder mehrere Sicherheitslücken im System habe? Momentan traue ich mich nicht, den IE zu starten, weil ich befürchte, dass dann der Trojaner wieder aktiv werden könnte.
Kann mir bitte jemand helfen?
NiceTalk
13.05.2005, 15:20
Baum-Darstellung