Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Trojaner eingefangen (evtl. zlob / ruin)

Trojaner eingefangen (evtl. zlob / ruin)


Plagegeister aller Art und deren Bekämpfung: Trojaner eingefangen (evtl. zlob / ruin)

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 12.08.2006, 14:01   #1
Lindmen
 
Trojaner eingefangen (evtl. zlob / ruin) - Standard

Trojaner eingefangen (evtl. zlob / ruin)


Hi, ich habe mir heute so wie es aussieht mindestens zwei Trojaner eingefangen. Auf jeden Fall hatte sich meine Startseite plötzlich geändert und beim Anklicken von Links bei google tauchten ganz andere Seiten auf. Adaware und spybot haben erst einmal nichts gebracht. Ich habe jetzt, wie hier im Forum empfohlen, smitfraudfix drüberlaufefn lassen, bin mir aber nicht sicher, ob das was gebracht hat.

Nachfolgend mein aktuelles Logfile. Ist das in Ordnung?

Vielen Dank!


Logfile of HijackThis v1.99.1
Scan saved at 14:25:43, on 12.08.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe
C:\Programme\FRITZ!DSL\Awatch.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.exe
C:\Programme\OpenOffice.org 2.0\program\soffice.BIN
C:\Programme\FRITZ!DSL\FritzDSL.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\WINDOWS\explorer.exe
C:\temp\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_03\bin\jusched.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hp\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [DrvLsnr] "C:\Programme\Analog Devices\SoundMAX\DrvLsnr.exe"
O4 - HKLM\..\Run: [AWatch] C:\Programme\FRITZ!DSL\Awatch.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [SpybotSD TeaTimer] "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Similar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://c:\programme\google\GoogleToolbar2.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/german/kavwebscan_unicode.cab
O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://download.ewido.net/ewidoOnlineScan.cab
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O17 - HKLM\System\CCS\Services\Tcpip\..\{02415458-02A8-478A-9110-745538140426}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{4AB28F16-7873-4AA8-AC20-80BFF1FA516D}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\..\{9860AFF9-4844-47C7-98F6-EEAB7135EF7F}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.13
O17 - HKLM\System\CS1\Services\Tcpip\..\{02415458-02A8-478A-9110-745538140426}: NameServer = 85.255.114.35,85.255.112.13
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.35 85.255.112.13
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\Win32\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Programme\SiSoftware\SiSoftware Sandra Lite 2007\RpcSandraSrv.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Alt 12.08.2006, 16:24   #2
Rene-gad
 
Trojaner eingefangen (evtl. zlob / ruin) - Standard

Trojaner eingefangen (evtl. zlob / ruin)


@Lindmen
Fixe bitte alle O17-Einträge .
__________________
Alt 12.08.2006, 17:21   #3
Lindmen
 
Trojaner eingefangen (evtl. zlob / ruin) - Standard

Trojaner eingefangen (evtl. zlob / ruin)


Hallo Rene-gad, vielen Dank für den Hinweis, ich habe die entsprechenden Einträge gefixt. Beim Scan mit F-Secure werden aber immer noch drei files gefunden. Die habe ich auch schon umbenannt und dann den PC neu gestartet, allerdings kann ich die Dateien über "Suche" nicht finden.

Wenn ich dann nochmals mit F-Secure scanne, tauchen wieder drei neue files auf, die nur einen leicht veränderten Dateinamen tragen, ansonsten identisch sind.

Anbei mal das Ergebnis des ersten scans und dann das des zweiten:


1. Scan:

08/12/06 17:41:08 [Info]: BlackLight Engine 1.0.42 initialized
08/12/06 17:41:08 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/12/06 17:41:08 [Note]: 7019 4
08/12/06 17:41:08 [Note]: 7005 0
08/12/06 17:41:11 [Note]: 7006 0
08/12/06 17:41:11 [Note]: 7011 1208
08/12/06 17:41:12 [Note]: 7026 0
08/12/06 17:41:12 [Note]: 7026 0
08/12/06 17:41:22 [Note]: FSRAW library version 1.7.1019
08/12/06 17:42:28 [Info]: Hidden file: c:\WINDOWS\system32\csflt.exe
08/12/06 17:42:28 [Note]: 7002 32
08/12/06 17:42:28 [Note]: 7003 1
08/12/06 17:42:28 [Note]: 10002 1
08/12/06 17:42:30 [Info]: Hidden file: c:\WINDOWS\system32\dmrbt.exe
08/12/06 17:42:30 [Note]: 7002 32
08/12/06 17:42:30 [Note]: 7003 1
08/12/06 17:42:30 [Note]: 10002 1
08/12/06 17:42:34 [Info]: Hidden file: c:\WINDOWS\system32\{2054B007-8800-4EE5-8485-683AF9579A58}.exe
08/12/06 17:42:34 [Note]: 10002 1
08/12/06 17:43:19 [Note]: 7007 0


2. Scan:

08/12/06 18:10:07 [Info]: BlackLight Engine 1.0.42 initialized
08/12/06 18:10:07 [Info]: OS: 5.1 build 2600 (Service Pack 2)
08/12/06 18:10:07 [Note]: 7019 4
08/12/06 18:10:07 [Note]: 7005 0
08/12/06 18:10:10 [Note]: 7006 0
08/12/06 18:10:10 [Note]: 7011 1192
08/12/06 18:10:10 [Note]: 7026 0
08/12/06 18:10:10 [Note]: 7026 0
08/12/06 18:10:21 [Note]: FSRAW library version 1.7.1019
08/12/06 18:11:17 [Info]: Hidden file: c:\WINDOWS\system32\dmehu.exe
08/12/06 18:11:17 [Note]: 7002 32
08/12/06 18:11:17 [Note]: 7003 1
08/12/06 18:11:17 [Note]: 10002 1
08/12/06 18:11:19 [Info]: Hidden file: c:\WINDOWS\system32\csvtg.exe
08/12/06 18:11:19 [Note]: 7002 32
08/12/06 18:11:19 [Note]: 7003 1
08/12/06 18:11:19 [Note]: 10002 1
08/12/06 18:11:23 [Info]: Hidden file: c:\WINDOWS\system32\{2054B007-8800-4EE5-8485-683AF9579A58}.exe
08/12/06 18:11:23 [Note]: 10002 1
08/12/06 18:12:17 [Note]: 7007 0



Was kann ich noch tun?

Gruß, Lindmen
__________________
Alt 12.08.2006, 17:27   #4
Sunny
Administrator
> Competence Manager
 
Trojaner eingefangen (evtl. zlob / ruin) - Standard

Trojaner eingefangen (evtl. zlob / ruin)


Zitat:
Zitat von Lindmen
Was kann ich noch tun?
Hallo,

leider kannst du in deinem Falle nichts anderes tun als dein Sytem neu aufzusetzen! Du hast ein aktives Rootkit im System, was sich alleine schon dadurch bemerkbar macht...

Zitat:
O17 - HKLM\System\CCS\Services\Tcpip\..\{02415458-02A8-478A-9110-745538140426}: NameServer = 85.255.114.35,85.255.112.13
...dieser Eintrag aus HijackThis lässt jegliche Anfragen ins Internet über einen ukrainischen Server laufen.
Die sicherste und wahrscheinlich sinnvollste Bereinigung wäre meiner Ansicht nach eine Neuinstallation. Lies dir mal den Link dazu in meiner Signatur durch, der wird dir bei deiner Entscheidung helfen!

Sorry,
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Alt 12.08.2006, 17:43   #5
Lindmen
 
Trojaner eingefangen (evtl. zlob / ruin) - Standard

Trojaner eingefangen (evtl. zlob / ruin)


Hi Sunny, danke für den Hinweis, das wäre natürlich der GAU für mich und meinen PC. Gibt es nicht vielleicht doch noch eine Möglichkeit, da anders rauszukommen? Gruß, Lindmen


Alt 12.08.2006, 17:49   #6
Sunny
Administrator
> Competence Manager
 
Trojaner eingefangen (evtl. zlob / ruin) - Standard

Trojaner eingefangen (evtl. zlob / ruin)


Zitat:
Zitat von Lindmen
Hi Sunny, danke für den Hinweis, das wäre natürlich der GAU für mich und meinen PC. Gibt es nicht vielleicht doch noch eine Möglichkeit, da anders rauszukommen? Gruß, Lindmen
Es wäre nicht nur der GAU, ES IST DER GAU!!!

Eine andere Möglichkeit bzw. eine andere Meinung dazu wirst du hier auch nicht finden! Sorry...
__________________
--> Trojaner eingefangen (evtl. zlob / ruin)

Alt 12.08.2006, 17:59   #7
Lindmen
 
Trojaner eingefangen (evtl. zlob / ruin) - Standard

Trojaner eingefangen (evtl. zlob / ruin)


Dann werde ich wohl in den sauren Apfel beißen müssen! Deinen Link habe ich mir ausgedruckt. Besten Dank!

Alt 12.08.2006, 18:01   #8
Sunny
Administrator
> Competence Manager
 
Trojaner eingefangen (evtl. zlob / ruin) - Standard

Trojaner eingefangen (evtl. zlob / ruin)


Zitat:
Zitat von Lindmen
Dann werde ich wohl in den sauren Apfel beißen müssen! Deinen Link habe ich mir ausgedruckt. Besten Dank!
Super, auch mal ein Hilfesuchender mit Einsicht!!!

Lies dir vorallem mal den Teil zum Thema Absicherung durch, dieser ist sehr hilfreich und informativ...

Gruß
Sunny
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Stulti est se ipsum sapientem putare.

Antwort

Themen zu Trojaner eingefangen (evtl. zlob / ruin)
adobe, antivir, avira, bho, dsl, escan, excel, explorer, firewall, google, hijack, hijackthis, internet, internet explorer, microsoft, nicht sicher, object, programme, seiten, software, system, temp, trojaner, trojaner eingefangen, windows, windows xp, zlob, zwei trojaner


« ständiger einwahlversuch zu ad-w-a-r-e | Trojaner manipuliert google? »


Ähnliche Themen: Trojaner eingefangen (evtl. zlob / ruin)


  1. Windows 7 Trojaner eingefangen, evtl. Win64/Sathurbot.A, Win32/Kryptik.CMWL, Win64/Sathurbot.A u. a.
    Log-Analyse und Auswertung - 14.10.2014 (15)
  2. Nav Links eingefangen und evtl mehr.
    Plagegeister aller Art und deren Bekämpfung - 03.12.2013 (5)
  3. Anhang vermeintlicher Mahnungsmail geöffnet und evtl. Trojaner eingefangen - was nun?
    Plagegeister aller Art und deren Bekämpfung - 13.07.2013 (14)
  4. Evtl. Virus oder Trojaner eingefangen
    Log-Analyse und Auswertung - 04.02.2013 (24)
  5. habe mir evtl. Trojaner eingefangen
    Plagegeister aller Art und deren Bekämpfung - 23.05.2012 (29)
  6. Evtl. Virus eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 24.03.2011 (0)
  7. Evtl Virus eingefangen
    Log-Analyse und Auswertung - 16.03.2011 (6)
  8. Evtl virus eingefangen?
    Log-Analyse und Auswertung - 06.06.2010 (2)
  9. Habe mir evtl ein Trojaner eingefangen
    Log-Analyse und Auswertung - 06.01.2010 (1)
  10. Evtl Virus eingefangen?
    Plagegeister aller Art und deren Bekämpfung - 27.07.2009 (19)
  11. Trojaner .zlob!gen2 eingefangen - Bitte Hilfe
    Log-Analyse und Auswertung - 26.05.2008 (3)
  12. Hilfe! Win32.Zlob.ddq - Trojaner eingefangen!
    Mülltonne - 07.10.2007 (1)
  13. Trojaner Zlob cc eingefangen
    Plagegeister aller Art und deren Bekämpfung - 27.08.2006 (3)
  14. Trojaner TR/Zlob.Gen.7 eingefangen
    Log-Analyse und Auswertung - 10.08.2006 (37)
  15. Zlob downloader eingefangen
    Plagegeister aller Art und deren Bekämpfung - 08.07.2006 (3)
  16. trojaner downloader ruin (TR/dldr.ffz.37 )
    Log-Analyse und Auswertung - 23.04.2006 (4)
  17. Trojaner TR/DLdr.ZLob.DR und TR/DLdr.ZLob.DQ und TR/ZLob.FG.2.C eingefangen. Was tun?
    Log-Analyse und Auswertung - 06.01.2006 (1)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Trojaner eingefangen (evtl. zlob / ruin) - Hi, ich habe mir heute so wie es aussieht mindestens zwei Trojaner eingefangen. Auf jeden Fall hatte sich meine Startseite plötzlich geändert und beim Anklicken von Links bei google tauchten - Trojaner eingefangen (evtl. zlob / ruin)...
Archiv
Du betrachtest: Trojaner eingefangen (evtl. zlob / ruin) auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130