ich hab heute nachmittag die meldung bekommen, ein trojaner habe sich bei mir eingeschlichen. bin absolut unbedarft, was solche dinge angeht und hoffe, ich habe alles richtig gemacht, so dass ihr mir vielleicht helfen könnt. schäden kann ich momentan keine feststellen, aber es bleibt ein ungutes gefühl. vielen dank im voraus!


Logfile of HijackThis v1.99.1
Scan saved at 22:07:10, on 03.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\DVDRAMSV.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Toshiba\Windows Utilities\Hotkey.exe
C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe
C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe
C:\WINDOWS\system32\igfxext.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearchIndexer.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE
O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe
O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe
O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?d9511dd51c4d4bd2aba980c28fd87c3b
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?d9511dd51c4d4bd2aba980c28fd87c3b
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: PopUpKiller - Fenster immer schließen - {397B302C-E42B-49BD-80EB-538D60E62F5E} - C:\Programme\PopUpKiller\Caller_c.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PopUpKiller - Fenster nie schließen - {A69C75BF-FAAC-4D9D-8F91-FBABB0A87D99} - C:\Programme\PopUpKiller\Caller_n.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: eBay - {ED0EA835-D79E-4F9A-A0B4-8164CC544D52} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU)
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll
O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hallo Samsa,

wo wurde der Trojaner entdeckt (Datei mit genauer Pfadangabe)?

Brauchst Du so viele Toolbars?
Den Popupkiller kannst Du Dir schenken, wenn Du den weitaus sicheren "Firefox" zum Surfen benutzt.

dartus

hallo dartus,

danke schon einmal für die mühe!

zu den toolbars: ich habe mir schlicht und einfach nie gedanken darüber gemacht, ob ich sie brauche, weil ich dachte, es sei egal, wenn sie da sind. prinzipiell benötige ich sie nicht. sollte man sie entfernen?

zum problem: norton hatte mir mitgeteilt, einen trojaner entdeckt zu haben und da das mein erster kontakt mit einem virus war, bin ich in panik geraten, habe alle verbindungen gekappt und den computer ausgemacht. als ich ihn wieder eingeschaltet und erleichtert festgestellt habe, dass nicht alles kaputt war, habe ich mich auf die suche nach programmen gemacht, die mir helfen könnten. einige habe ich heruntergeladen, darunter auch das angesprochene popup-/dialerding, aber nichts hat genützt. dann bin ich auf euer forum, hijack und kaspersky gestossen. kaspersky hat gerade zwei trojaner-dateien gefunden und entfernt. ich weiß jetzt nicht, wie ich den pfad/ die betroffenen dateien rückwirkend herausfinden kann. ich bin halt wirklich etwas hilflos in diesem ganzen bereich ist denn in dem geposteten hijack-log nichts zu sehen gewesen? und ist jetzt alles gut, wenn kaspersky die dateien gelöscht hat? firefox ist besser? ich hatte halt bisher nie irgendwelche probleme. ähmm, ja. alles ein bißchen wirr. kannst du mir irgendwie helfen, oder sagen, was sich tun muss, um sicher zu sein, dass kein trojaner mehr da ist?

Hallo Samsa,

falls Du die Toolbars nicht brauchst/verwendest einfach über Systemsteuerung/Software deinstallieren.
Thema --> [url=http://www.trojaner-board.de/showthread.php?t=8251] Browser [/url

Dein Logfile sieht unauffällig, od dies nun für Dein gesamtes System zutrifft, kann nicht gesagt werden.

Führe folgendes aus:
- clearprog 1.4.1 final, nimm eine Datenträgerbereinigung vor (Häkchen bei “alles Löschen” und auf “Löschen” klicken)
- Datfind.bat und poste wie beschrieben die 4 Logfiles mit den Daten der letzten 3 Monate

dartus

das ist ziemlich lang. alleine der erste ist knapp viermal so lang wie erlaubt. müsste das dann in viele teile zerlegen, ok?

Hallo Samsa,

Zitat:

...die 4 Logfiles mit den Daten der letzten 3 Monate

.

Trotzdem so viel?

dartus

Oh vielleicht bin ich einfach zu blöd. sorry. ich lösche also alles, was älter ist und poste nur das übriggebliebene, ja tut mir leid.

Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E040-A68F

Verzeichnis von C:\WINDOWS\system32

03.04.2006 21:41 100 LuResult.txt
03.04.2006 16:00 4.212 zllictbl.dat
03.04.2006 14:34 131.688 FNTCACHE.DAT
27.03.2006 05:20 380.684 perfh009.dat
27.03.2006 05:20 391.574 perfh007.dat
27.03.2006 05:20 53.098 perfc009.dat
27.03.2006 05:20 63.976 perfc007.dat
27.03.2006 05:20 898.510 PerfStringBackup.INI
12.03.2006 15:37 1.158 wpa.dbl
09.03.2006 16:21 4.799.320 MRT.exe
22.01.2006 22:33 16.832 amcompat.tlb
22.01.2006 22:33 23.392 nscompat.tlb
04.01.2006 05:35 68.096 webclnt.dll



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E040-A68F

Verzeichnis von C:\DOKUME~1\***~1\LOKALE~1\Temp

04.04.2006 13:39 35 music.ram
04.04.2006 13:36 1.761 BCG13.tmp
04.04.2006 13:34 16.384 ~DFFE45.tmp
04.04.2006 13:34 512 ~DFD6DD.tmp
04.04.2006 13:34 16.384 ~DFD6B4.tmp
5 Datei(en) 35.076 Bytes
0 Verzeichnis(se), 12.518.891.520 Bytes frei



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E040-A68F

Verzeichnis von C:\WINDOWS

04.04.2006 13:46 854 KB914798.log
04.04.2006 13:34 0 0.log
04.04.2006 13:34 2.083.615 WindowsUpdate.log
04.04.2006 13:34 2.048 bootstat.dat
04.04.2006 13:33 32.528 SchedLgU.Txt
04.04.2006 03:07 0 nsreg.dat
04.04.2006 03:07 107.132 UninstallFirefox.exe
04.04.2006 03:07 2.763 mozver.dat
04.04.2006 03:01 74.211 iis6.log
04.04.2006 03:01 165.061 comsetup.log
04.04.2006 03:01 98.489 ntdtcsetup.log
04.04.2006 03:01 1.355 imsins.log
04.04.2006 03:01 182.311 tsoc.log
04.04.2006 03:01 25.851 ocmsn.log
04.04.2006 03:01 3.160 KB885884.log
04.04.2006 03:01 227.553 ocgen.log
04.04.2006 03:01 23.428 msgsocm.log
04.04.2006 03:01 462.932 FaxSetup.log
04.04.2006 03:01 518.818 setupapi.log
03.04.2006 14:11 47.336 wmsetup.log
03.04.2006 12:52 735 wiadebug.log
03.04.2006 12:52 50 wiaservc.log
03.04.2006 12:52 748 ODBC.INI
03.04.2006 12:51 573 win.ini
19.02.2006 00:41 923 spupdsvc.log
17.02.2006 15:29 1.374 imsins.BAK
17.02.2006 15:29 11.221 KB911927.log
17.02.2006 15:29 36.603 updspapi.log
17.02.2006 15:29 4.977 KB911564.log
17.02.2006 15:28 5.223 KB911565.log
17.02.2006 15:28 6.931 KB913446.log
07.02.2006 22:07 754 WORDPAD.INI
04.02.2006 23:40 280 nsw.log
23.01.2006 10:17 67 Aurora Video VCD_SVCD_DVD Creator.INI
13.01.2006 04:01 10.662 KB908519.log
12.01.2006 01:56 208.521 setupact.log
08.01.2006 04:01 11.664 KB912919.log



Volume in Laufwerk C: hat keine Bezeichnung.
Volumeseriennummer: E040-A68F

Verzeichnis von C:\

04.04.2006 13:58 0 sys.txt
04.04.2006 13:57 8.689 system.txt
04.04.2006 13:57 487 systemtemp.txt
04.04.2006 13:55 94.421 system32.txt
04.04.2006 13:34 792.723.456 pagefile.sys
23.03.2006 16:58 40 Auth.prof
25.12.2005 22:00 309 ToCaclLg.txt
25.12.2005 21:57 565 TO_InstallLog.txt
25.12.2005 21:51 2.735 TDSLCheck.txt
29.11.2005 15:20 211 boot.ini

Hallo Samsa,

das sieht m.E. in Ordnung aus.
Hier findest Du noch Lesenswertes, insbesondere die “12 Punkte” zur Systemabsicherung.

dartus

das ist doch eine erfreuliche nachricht. vielen dank! ich mach mich dann jetzt mal ein wenig schlau, damit ich euch in zukunft nicht unnötig in anspruch nehmen muss. vielen dank nochmal!!!