Hi,

ich hab seit ein paar tagen ein problem. Und zwar bekomme ich immer wieder eine Meldung von Kaspersky, das in dem Folder C:/Dokumente und Einstellungen/All Users/Dokumente eine Datei "setup.exe" ist, die den Trojaner Trojan-Proxy.Win32.Horst.av (laut google identisch mit etwas namens backdoor-cmq) enthält. Kaspersky löscht diese Datei dann auch, alles kein Problem. Aber, diese Datei, bzw. Meldung taucht halt immer wieder auf. Also muss ja irgendwas auf meinem PC "setup.exe" immer wieder erstellen/downloaden/was auch immer. Da mir von verschiedenen Seiten HijackThis empfohlen wurde, hab ichs auch mal durchlaufen lassen, wobei ich auf 2 verdächtige Einträge gestoßen bin, nämlich:

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

diese beiden sagen mir jedenfalls nix, aber ich lösche halt ungern sachen aus dem windows ordner ;-). Also wollte ich mal fragen ob einer von euch weiß ob ich diese Einträge problemlos löschen kann (mit killbox.exe versteht sich) oder evtl eine andere Lösung für mein Trojaner-Problem kennt.

Mfg
Homer

Zitat:

O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

Hiermit wird deine Windowsversion auf Echtheit geprüft also nichts schlimmes wenn du ein Original betriebssystem besitzt.

Ansonsten poste uns ein vollständiges HijackThis Logfile!

Gut das ich vorher gefragt habe und nicht einfach was gelöscht habe was ihc nicht kannte...exakt das wurde mir nämlich in einem anderen forum empfohlen


komplettes Log:

Keiner eine idee wie ich das Problem loswerde?

Du kannst mit Kleinigkeiten anfangen. Erstmal HijackThis in einen Extra Ordner kopieren und dann Z.B. indem du erstmal mit HijackThis im abgesicherten Modus(!) folgendes "fixt":

O2 - BHO: (no name) - {52DECB26-447B-4214-B88D-C0E7035CA521} - (no file)
O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - (no file)
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - h**p://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O20 - AppInit_DLLs:
O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file)


Dann neu starten, ins Internet surfen und ein neues HijackThis log erstellen und posten.

mal kurz *einmisch*

@raman,

warum sollte der TO diese Einträge fixen/löschen...

Zitat:

O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe

...diese sind nicht schädlich und auch nicht unnütz!

@Evilhomer,

lade dir folgendes Tool -> SmitfraudFix
Starte gleich mit Punkt 2. und poste im Anschluss den Inhalt der Report.txt

Gruß
Sunny

Zitat:

Zitat von [Gc]Sunny

mal kurz *einmisch*
warum sollte der TO diese Einträge fixen/löschen...
...diese sind nicht schädlich und auch nicht unnütz!

Es gibt zumindest 2 Malware Arten, die einen dieser Dateien einfach ueberschreibt. Meistens den Gamma loader, da sie mehr oder minder unnuetz sind und ein Austausch dieser Dateien recht spaet auffallen wuerde. Darum und aufgrund fehlender(aktiver) anderer Verdaechtiger erstmal raus damit. Deshalb die bitte HijackThis in einen extra Ordner zu packen, um diese Eintraege nachher wiederherstellen zu koennen.