Hallo,

ich habe einen Trojaner, der irgendwie nach jedem 3. Neustart meinen kompletten Netzwerk zugriff deaktiviert. Also komme ich selber nicht mehr ins Netzwerk (2. Computer) und auch nicht mehr in das Internet. Er selber sendet aber fleißig.
Die Taskleiste bekommt ab und zu dann auch eine andere Farbe.
Nach 2-3-mal Neustart geht es dann wieder und der Trojaner scheint
wieder deaktiviert zu sein.
Nun habe ich mit "Kaspersky Anti-Virus" gescannt und nichts gefunden.
Dann mit "HijackThis" Die Auswertung hat aber auch nichts gebracht.

Dann bin ich nach der HijackThis.de "Anleitung zur Bereinigung von Malware" vorgegangen und habe mit den dort empfohlenen Tools, in abgesicherten Modus,
gescannt und so einiges gelöscht.
Den finalen scann habe ich dann mit "eScan“ getätigt und dort wurde ich dann fündig, glaube ich. Ich muss noch erwähnen dass der infizierte Computer nicht dieser ist und dass er im Moment noch im abgesicherten Modus gestartet ist.

HiJackThis Log-File Komplett:

Zitat:

Logfile of HijackThis v1.99.1
Scan saved at 16:57:54, on 27.03.06
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Zitat:

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\System32\Ati2evxx.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\system32\Ati2evxx.exe
F:\WINDOWS\Explorer.EXE
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
F:\WINDOWS\system32\RunDll32.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragCtrl.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
C:\PROGRA~1\MI3AA1~1\rapimgr.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\WINDOWS\system32\PGPserv.exe
F:\WINDOWS\System32\svchost.exe
C:\Programme\T-DSL SpeedManager\TSMSvc.exe
F:\WINDOWS\System32\svchost.exe
F:\Dokumente und Einstellungen\Administrator\Desktop\HijackThis.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\Programme\TVgenial\IEButtonTVGenialEBayInterface.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\Programme\Preispiraten3\Preispiraten3\IEButtonPPInterface.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SfWinStartInfo] C:\SFIRM32\sfWinStartupInfo.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [Acronis True Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - Global Startup: Ashampoo Magic Defrag.lnk = C:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragCtrl.exe
O4 - Global Startup: Kaspersky Anti-Virus Personal.lnk = C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe
O4 - Global Startup: Microsoft Office Outlook 2003.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Programme\\Preispiraten3\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MI3AA1~1\INetRepl.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Programme\Preispiraten3\Preispiraten3\preispiraten3ie.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\pgplsp.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{B06C973B-8000-45B2-89F7-0456C5403B1F}: NameServer = 194.25.2.129
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ashampoo Defrag Service (AshampooDefragService) - - C:\Programme\Ashampoo\Ashampoo Magic Defrag\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - Unknown owner - F:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: PGPserv - PGP Corporation - C:\WINDOWS\system32\PGPserv.exe
O23 - Service: T-DSL SpeedManager (TSMService) - T-Systems Business Services - C:\Programme\T-DSL SpeedManager\TSMSvc.exe

Und den eScan Befund:

Zitat:

Tue Mar 28 00:58:52 2006 => ***** Adware/Spyware - Scan der Registrierung und des Dateisystems *****
Tue Mar 28 00:58:52 2006 => Loading Spyware Signatures from new External Database (Size: 154365).
Tue Mar 28 00:58:54 2006 => Indexed Spyware Databases Successfully Created...

1.) Dieses Programm erkenne ich als mein Password-Finder.
Würde ich jetzt nicht löschen, oder?

Zitat:

Tue Mar 28 00:58:55 2006 => Offending Key found: HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu\programs\password-finder !!!

Zitat:

Tue Mar 28 00:59:20 2006 => Object "password-finder 2.1 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 28 00:59:20 2006 => Offending Key found: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MenuOrder\Start Menu\Programs\password-finder !!!
Tue Mar 28 00:59:20 2006 => Object "password-finder 2.1 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Tue Mar 28 00:59:21 2006 => Offending Folder found: C:\Programme\password-finder
Tue Mar 28 00:59:21 2006 => Object "password-finder 2.1 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

2.)Laut "Kaspersky Virus Enzyklopädie" ist "adroar" ein
Trojan-Downloader.Win32.Adroar , den ich löschen würde, oder?

Zitat:

Tue Mar 28 00:59:22 2006 => Offending file found: F:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\~glh0001.tmp
Tue Mar 28 00:59:22 2006 => System found infected with adroar Spyware/Adware (~glh0001.tmp)! Action taken: Keine Aktion vorgenommen.

3.) Laut "Kaspersky Virus Enzyklopädie" ist "gohip" ein not-a-virus:AdWare.GoHip, löschen oder nicht löschen?

Zitat:

Tue Mar 28 00:59:25 2006 => Offending Folder found: F:\Dokumente und Einstellungen\Administrator\Favoriten\autos
Tue Mar 28 00:59:25 2006 => Object "gohip Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Zitat:

4.) Laut "Kaspersky Virus Enzyklopädie" ist "smartfinder" ein Trojan.Win32.Trilon.a und ich würde ihn löschen, oder?

Zitat:

Tue Mar 28 00:59:29 2006 => Offending file found: F:\Dokumente und Einstellungen\Administrator\Favoriten\suchmaschinen\search the web.url
Tue Mar 28 00:59:29 2006 => System found infected with smartfinder Spyware/Adware (search the web.url)! Action taken: Keine Aktion vorgenommen.

5.) Laut "Kaspersky Virus Enzyklopädie" ist "not-a-virus:AdWare.ClientMan, löschen oder nicht löschen?

Zitat:

Tue Mar 28 00:59:43 2006 => Offending file found: F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\outlook logging\firstrun.log
Tue Mar 28 00:59:43 2006 => System found infected with clientman Spyware/Adware (firstrun.log)! Action taken: Keine Aktion vorgenommen.

wie 2.)

Zitat:

Tue Mar 28 00:59:44 2006 => Offending file found: F:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen\temp\~glh0001.tmp
Tue Mar 28 00:59:44 2006 => System found infected with adroar Spyware/Adware (~glh0001.tmp)! Action taken: Keine Aktion vorgenommen.

wie 1.)

Zitat:

Tue Mar 28 00:59:47 2006 => Offending Folder found: F:\Dokumente und Einstellungen\All Users\Startmenü\Programme\password-finder
Tue Mar 28 00:59:47 2006 => Object "password-finder 2.1 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

Zitat:

Tue Mar 28 00:59:47 2006 => Offending Folder found: F:\Dokumente und Einstellungen\All Users\Startmenü\programme\password-finder
Tue Mar 28 00:59:47 2006 => Object "password-finder 2.1 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

6.) Hierüber hat Kaspersky nicht gefunden. ???

Zitat:

Tue Mar 28 00:59:56 2006 => Offending file found: F:\WINDOWS\system32\ctfmon.exe
Tue Mar 28 00:59:56 2006 => System found infected with family keylogger Commercial KeyLogger (F:\WINDOWS\system32\ctfmon.exe)! Action taken: Keine Aktion vorgenommen.

Des Weiteren habe ich versucht mit "eScanCheck110" den "mwave.log" Auszuwerten, aber das Programm hat nichts zum löschen gefunden.

Die zulöschenden Dateien würde ich jetzt mit „Total Commander“ löschen.

Ich hoffe ihr könnt mir helfen die Richtigen Dateien zu löschen.

Vielen Dank im Voraus.

Micha

Sorry,

sind ja alles tmp Dateien. Kann ich also ohne Problem löschen.
Hat sich damit also erledigt.
Vielen Dank, für eure sehr gute Beschreibungen hier im Board.

Gruß

Micha

Zitat:

Zitat von Annunaki

Hallo,

ich habe einen Trojaner, der irgendwie nach jedem 3. Neustart meinen kompletten Netzwerk zugriff deaktiviert. Also komme ich selber nicht mehr ins Netzwerk (2. Computer) und auch nicht mehr in das Internet. Er selber sendet aber fleißig.
Die Taskleiste bekommt ab und zu dann auch eine andere Farbe.
Nach 2-3-mal Neustart geht es dann wieder und der Trojaner scheint
wieder deaktiviert zu sein.
Nun habe ich mit "Kaspersky Anti-Virus" gescannt und nichts gefunden.
Dann mit "HijackThis" Die Auswertung hat aber auch nichts gebracht.

Dann bin ich nach der HijackThis.de "Anleitung zur Bereinigung von Malware" vorgegangen und habe mit den dort empfohlenen Tools, in abgesicherten Modus,
gescannt und so einiges gelöscht.
Den finalen scann habe ich dann mit "eScan“ getätigt und dort wurde ich dann fündig, glaube ich. Ich muss noch erwähnen dass der infizierte Computer nicht dieser ist und dass er im Moment noch im abgesicherten Modus gestartet ist.

HiJackThis Log-File Komplett:


Und den eScan Befund:

1.) Dieses Programm erkenne ich als mein Password-Finder.
Würde ich jetzt nicht löschen, oder?

2.)Laut "Kaspersky Virus Enzyklopädie" ist "adroar" ein
Trojan-Downloader.Win32.Adroar , den ich löschen würde, oder?

3.) Laut "Kaspersky Virus Enzyklopädie" ist "gohip" ein not-a-virus:AdWare.GoHip, löschen oder nicht löschen?

4.) Laut "Kaspersky Virus Enzyklopädie" ist "smartfinder" ein Trojan.Win32.Trilon.a und ich würde ihn löschen, oder?

5.) Laut "Kaspersky Virus Enzyklopädie" ist "not-a-virus:AdWare.ClientMan, löschen oder nicht löschen?

wie 2.)

wie 1.)

6.) Hierüber hat Kaspersky nicht gefunden. ???



Des Weiteren habe ich versucht mit "eScanCheck110" den "mwave.log" Auszuwerten, aber das Programm hat nichts zum löschen gefunden.

Die zulöschenden Dateien würde ich jetzt mit „Total Commander“ löschen.

Ich hoffe ihr könnt mir helfen die Richtigen Dateien zu löschen.

Vielen Dank im Voraus.

Micha

HAllo ich habe das gelesen ich selber habe einen virus entfernt in dem ich die Sytemwiederherstellung gemacht habe und den kompleten PC 1 monat zurueckgestellt habe ist perfekt die viren sind weg ist in jedem XP schon dabei versuche es mal wenn nicht melde dich doch wenn du kannsch unnter joerg1973@gmx.ch