Hallo Leute,
bin neu hier, aber würde eure Hilfe zu wissen schätzen.

Habe einen Trojaner, siehe Topic!

Hier das Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 18:02:47, on 26.10.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Programme\Java\jre1.5.0_08\bin\jusched.exe
C:\Bin\INSTAN~1.EXE
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Kopierer\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Tools\totalcmd\TOTALCMD.EXE
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOKUME~1\Kerstin\LOKALE~1\Temp\_tc\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.2:80
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Schreiben\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL
O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~3\IEBUTT~2.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [InstantAccess] c:\Bin\INSTAN~1.EXE /h
O4 - HKLM\..\Run: [RegisterDropHandler] c:\Bin\REGIST~1.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\RunServices: [RegisterDropHandler] c:\Bin\REGIST~1.EXE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [PDK] C:\Programme\PDK\Kalender.exe /Autostart
O4 - HKCU\..\Run: [AnyDVD] C:\Kopierer\SlySoft\AnyDVD\AnyDVD.exe
O4 - Startup: FriFax32.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Schreiben\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\SCHREI~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{CA254ACE-C8C5-457A-AB09-8BA6DD260023}: NameServer = 192.168.120.252,192.168.120.253
O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe

[gebetsmühle]Welches Programm meldet den Trojaner? Wo wurde der Trojaner gefunden?[/gebetsmühle]


Gruß
Yopie

Zitat:

Zitat von Yopie

[gebetsmühle]Welches Programm meldet den Trojaner? Wo wurde der Trojaner gefunden?[/gebetsmühle]


Gruß
Yopie

Avast meldet den trojaner unzwar im Verzeichnis "C:\windows\system32\notepad.exe"

Gebetsmühle weiterdreh...
Was sagt Google dazu ?
vielleicht das ? http://www.google.de/search?hl=de&q=...le-Suche&meta=
Dem Pfad nachgehen und bei www.virustotal die Datei prüfen lassen.Vorher die Einstellung zum "Alle Dateien anzeigen lassen" überprüfen.
"Panda Online Scanner" verwenden und Ergebniss posten.
Die so " eingefassten Worte können als Suchbegriff in Google verwendet werden...
Irrlicht

Ich habe den auch drauf.



Ich habe keine ahnung wie der sich installiert. Ich benutze den Editor eigendlich ziemlich oft. Die letzten Tage hatte ich ihn nicht benutzt da ich mein System vor 3 tagen frisch installiert habe. Ein Kumpel rief mich an und sagte mir das er den trj hat und dann ging ich halt auch in den ordner und bekam dann auch die warnung.
Ich kann den Editor auch nicht mehr benutzen, sprich auch keine logfile von HijackThis erstellen.
Ich habe versucht die notepad via windows-cd wieder herzustellen aber das hat irgendwie nicht hingehauen. Ich hab mir auch schon die von einem Kumpel schicken lassen dessen vollkommen okay ist solange ich sie nicht auspacke, weil dann springt Avast wieder an (Mein Kumpel hat auch avast und da springt nix an)

Hab den Panda-Online-Scan gemacht und der findet den nicht.
Unter Google ist die suche aussichtslos. Hab nur 3 englische seiten gefunden die was zu dem trj haben, aber das ist nicht wirklich hilfreich. Der rest ist entweder auf chinesisch oder irgend ner anderen sprache die ich nicht lesen kann.
Ich bin mit meiner weisheit am ende. Bin am überlegen ob ich mein PC wieder neu mache, weil ich hatte den vorher ja auch nicht.

Ich habe meine Original-Notepad.exe mit dem Avast-Onlinescanner gescannt:

Zitat:

notepad.exe
infected - Win32:Qqpass-DY [Trj]

Also: Fehlalarm von Avast!

Siehe auch http://forum.avast.com/index.php?topic=24494.0

Lehre für euch: Traut keinem AV-Scanner!

Gruß
Yopie

hm
und wiseo schlägt er dann nicht bei meinen kumpels aus? hab noch 5 andere mit dem gleichen prog und bei denen passiert nix (ja sie haben das neuste update drauf)


€dit: War echt ne fehlermeldung. kurios sowas. vps war noch nicht das aktuellste drauf bei mir. Jetzt ist wieder alles tutti. Keine Warnung mehr. Einfach nur nen update allgemein gemacht und dann wars wieder okay.

natoll, ich depp hab in voller panik (eben weil ich gelesen habe, dass der virus die originale notepad.exe datei nur unbenennt) den vermeindlichen trojaner gelöscht und nun kein notepad mehr -.-
wie kann ich die wiederherstellen?

Die Datei soll Gerüchten zufolge auf der Windows-CD zu finden sein. Einfach kopieren!

Gruß
Yopie

Ich kann Dir notepad.exe per Mail schicken. Ist zwar die von Windows 2000, sollte aber auch unter XP gehen.
Poste Deine Mail-Adresse oder schick mir die über PN, wenn Du die nicht veröffentlichen willst.

ok danke, wäre nett
ich veröffentliche sie mal, ist eigentlich eh kein staatsgeheimnis

Zitat:

Zitat von Yopie

Die Datei soll Gerüchten zufolge auf der Windows-CD zu finden sein. Einfach kopieren!

Gruß
Yopie

Ähm, die ist m.W. ziemlich versteckt und komprmitiert abgelegt im Format notepad.ex_ => muss mit dem Befehl expand entpackt werden. Aber anscheinend kann man die auch mit WinRAR öffnen und extrahieren.

Zitat:

Zitat von Sawa

ok danke, wäre nett
ich veröffentliche sie mal, ist eigentlich eh kein staatsgeheimnis

Naja, es geht auch um Spamschutz. Manche Spambots durchsuchen systematisch das Internet nach E-Mail-Adressen, um diese mit Werbemüll zu bombardieren.

achso, ich dachte die email wäre so im profil abgebildet, aber ich habs jetzt dank deiner anleitung doch noch auf der cd gefunden, danke nochmal

Es kann auch nicht schaden, mal unter "WINDOWS/ServicePackFiles/i386" auf der Platte nachzuschauen, falls das Verzeichnis existiert.

Zitat:

Start->Ausführen: expand X:\I386\notepad.ex_ C:\notepad.exe
X: = CD-ROM-Laufwerk mit eingelegter Windows XP-CD (XP2!)
Die aktuelle Version hat die Nummer 5.1.2600.2180(xpsp_sp2_rtm.040803-2158),
wenn das Servicepack 2 installiert ist. In diesem Fall lässt sich
die Datei Notepad.exe aus dem Verzeichnis C:\WINDOWS\ServicePackFiles\i386
in der richtigen Version wiederherstellen, indem Du sie in das Verzeichnis
C:\Windows\system32 kopierst.

Quelle: http://groups.google.de/group/micros...e=source&hl=de

Gruß
Yopie