![]() |
|
Plagegeister aller Art und deren Bekämpfung: Trojaner, Hijacker und andere...Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() ![]() | ![]() Trojaner, Hijacker und andere... Hallo Leute, ich hatte mir gestern nacht durch einen falschen Klick einen Haufen Probleme eingehandelt. Startseite war plötzlich eine dubiose "systemwarning.com", mein Scanner(KAV5.0) fand mehrere Trojaner auf meinem Rechner. Trojan-Downloader Win32.Agent.acd Trojan-Downloader Win32.Zlob.dn Trojan-Dropper Win32.Small.akg Auch der Scanner dürfte beschädigt worden sein, da er plötzlich seine Aufgaben nur noch fehlerhaft ausführte, ebenso die Downloads der Datenbanken. Laut Log wurden in C:\Windows\system32\1024\ folgende von Win32.Zlob.da infizierte Dateien gefunden: ld9BC4.tmp ldA6A0.tmp ldDE40.tmp Ein Löschen der Dateien war nicht möglich, da er diese angeblich nicht gefunden hat. Ebenso wurde in C:\Windows\system32\ folgende von Hoax.Win32.Renos.ak infizierte Datei gefunden und gelöscht. wbeconm.dll Wird die für irgendwas benötigt, oder handelt es sich dabei um einen Trojaner??? Weiters wurden zu einem späteren Zeitpunkt folgende von Win32.Zlob.do infizierte Dateien gefunden und gelöscht: C:\Windows\system32\mssearchnet.exe mssearchnet.exe\mssearchnet.exe C:\Windows\system32\msvol.tlb Ist eine dieser Dateien für den Rechnerbetrieb erforderlich und muß ich diese ersetzen? Seitdem die ersten temporären Dateien gelöscht wurden, scheint der Virenscanner wieder ordentlich zu funktionieren, zumindestschließt er laut Protokoll seine Aufgaben wieder erfolgreich ab. Zur Zeit läuft ein weiterer Systemcheck, der aber bis dato nichts ans Tageslicht geebracht hat. Die Startseite wurde wiederhergestellt, das Addon, welches auf die dubiose Seite führte, habe ich gefunden und nach mehreren Versuchen* erfolgreich gelöscht. *mehrtere Versuche deshalb, da sich die temporäre Datei zuerst gar nicht löschen lies und sich bei weiteren Versuchen selbst reproduzierte und sich in einen anderen Ordner hineinschrieb. Erst, als ich den Dateinamen veränderte und den Eintrag aus der Registry gelöscht habe, ließ sich dieses Objekt von meinem Rechner entfernen. In der Browserinternen AddOn-Verwaltung wird es aber nach wie vor aufgeführt, deaktiviert. Das AddOn nannte sich HomepageBHO und der Dateiname war/ist hp78de.tmp. Kann mir da ein Profi Tips zur Systemwiederherstellung und sicheren Wiederinbetriebnahme geben? Danke Kurt
__________________ "Siehst du den Horizont? Kurz über dem Boden fängt der Himmel an..." (Toasti) |
![]() | #2 |
![]() ![]() ![]() ![]() | ![]() Trojaner, Hijacker und andere... Hallo,
__________________diese Dateien werden nicht für den Rechnerbetrieb benötigt. C:\Windows\system32\mssearchnet.exe mssearchnet.exe\mssearchnet.exe C:\Windows\system32\msvol.tlb Könntest du evtl. noch ein HJT logfile posten? |
![]() | #3 |
![]() ![]() | ![]() Trojaner, Hijacker und andere... Klar, hier ist es:
__________________Logfile of HijackThis v1.99.1 Scan saved at 00:19:11, on 31.12.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\mysql\bin\mysqld-nt.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\dllhost.exe C:\WINDOWS\system32\nvctrl.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\system32\wfxsnt40.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\FreePDF_XP\fpassist.exe C:\Programme\borland\interbase\bin\ibguard.exe C:\Programme\Symantec\WinFax\WFXCTL32.EXE C:\Programme\Panasonic\LUMIXSimpleViewer\PhLeAutoRun.exe C:\Programme\borland\interbase\bin\ibserver.exe C:\mysql\bin\winmysqladmin.exe C:\Programme\Outlook Express\msimn.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Symantec\WinFax\WFXMOD32.EXE C:\Programme\CAO-Faktura\cao_faktura.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\WINDOWS\system32\taskmgr.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.at/ O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp78DE.tmp (file missing) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [PMXInit] C:\WINDOWS\system32\pmxinit.exe -SetupRunOnce O4 - HKLM\..\Run: [WinFaxAppPortStarter] wfxsnt40.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe O4 - HKLM\..\Run: [InterBaseGuardian] C:\Programme\borland\interbase\\bin\ibguard.exe -a O4 - HKLM\..\RunOnce: [PMXInit] C:\WINDOWS\system32\pmxinit.exe O4 - Startup: WinMySQLadmin.lnk = C:\mysql\bin\winmysqladmin.exe O4 - Global Startup: Controller.LNK = C:\Programme\Symantec\WinFax\WFXCTL32.EXE O4 - Global Startup: LUMIX Simple Viewer.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1129215994619 O23 - Service: InterBase Guardian (InterBaseGuardian) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibguard.exe O23 - Service: InterBase Server (InterBaseServer) - Inprise Corporation - C:\PROGRA~1\borland\INTERB~1\Bin\ibserver.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: MySql - Unknown owner - C:/mysql/bin/mysqld-nt.exe Den Prozess C:\WINDOWS\system32\nvctrl.exe habe ich inzwischen beendet und umbenannt und danach gelöscht. Gleichzeitig hab ich das Teil an KAV geschickt, da es, im Gegensatz zu HijackThis nicht als Trojaner identifiziert wird. Gruß Kurt [edit] links entfernt [/edit]
__________________ Geändert von GUA (31.12.2005 um 14:06 Uhr) |
![]() | #4 |
![]() ![]() ![]() ![]() | ![]() Trojaner, Hijacker und andere... Fixe diesen Eintrag: O2 - BHO: (no name) - {e0103cd4-d1ce-411a-b75b-4fec072867f4} - C:\WINDOWS\system32\hp78DE.tmp (file missing) Ausser der nvctrl.exe kann ich nichts finden. Läuft dein Rechner denn wieder normal bzw. schmeißt dein AVP noch Meldungen? |
![]() | #5 |
![]() ![]() | ![]() Trojaner, Hijacker und andere... Den Eintrag der BHO hab ich inzwischen gelöscht, wie die nvctrl.exe. Über die Dateisuche hab ich auch noch den Eintrag im Recent-Ordner gelöscht, ebenso den Eintrag: NVCTRL.EXE-325F48B7.pf Ansonst läuft mein System wieder normal, auch KAV zeigt zur Zeit keine anormalen Verhaltensweisen. Ob das nach dem Neustart so bleibt, hoffe ich einfach mal. Sicherheitshalber hab ich mir die von euch empfohlenen Tool Adaware, cwshredder und spybot runtergeladen und installier mir die mal. Als nächste Sicherheitsmaßnahme fliegt der IE in hohem Bogen raus. *hmpf* Ich hoffe, das wars dann erst mal. Gruß und danke Kurt
__________________ "Siehst du den Horizont? Kurz über dem Boden fängt der Himmel an..." (Toasti) |
![]() | #6 |
![]() ![]() ![]() ![]() | ![]() Trojaner, Hijacker und andere...![]() Dann hoffen wir mal das es dabei bleibt |
![]() | #7 |
| ![]() Trojaner, Hijacker und andere... Hallo zusammen habe die forums gelesen habe dann mit Kaspersky meine Festplatten kontrolliert nach Trojaner habe mitlerweile fetsgestellt dass ich die reihe von Trojaner auf meine festplatten sich gehäusert haben von tropper bis Clicker die ganze Familie!! insgesammt sind es 52 Trojaner und 9 Viren ![]() ![]() |
![]() | #8 |
Administrator, a.D. ![]() ![]() ![]() ![]() | ![]() Trojaner, Hijacker und andere... @ Christakis Das ist natürlich eine Menge Malware die auf dein System bereits aktiv war oder vielleicht immer noch ist. Eröffne einen neuen Thread, beschreibe dein Problem ausführlich und versorge uns mit folgenden Informationen: HJT Log-File und die Virus Log Information von eScan Dann sehen wir weiter. btw: Thread geschlossen! |
![]() |
Themen zu Trojaner, Hijacker und andere... |
banke, dateien, dateien gelöscht, ellung, falsche, hijacker, infizierte, infizierte dateien, klick, log, löschen, mehrere, mehrere trojaner, nicht gefunden, nicht löschen, nicht möglich, ordner, plötzlich, probleme, profi, registry, scan, seite, system32, systemcheck, systemwiederherstellung, trojaner, trojaner?, trojaner??, virenscanner, win, windows |