Hallo.

Habe nun schon viel gesucht, jedoch leider nix gefunden und mich deshalb hier angemeldet.

Ich habe mir vor einiger Zeit einen Trojaner eingefangen, der einige .dll .exe und andere Dateien auf meinem Windows XP Pro Rechner installierte.
Soweit denke ich habe ich auch alles wieder weg bekommen.
Nun gibt es aber noch 2 Punkte die mir zu denken geben.

Adaware gibt immer wieder den gleichen Fehler aus.

Code: Alles auswählenAufklappen

ATTFilter

Adware.Searchcolours Objekt erkannt!
    Typ                : Datei
    Daten              : A0059216.dll
    TAC-Bewertung      : 4
    Kategorie          : Adware
    Kommentar          : 
    Objekt             : C:\System Volume Information\_restore{FFEDA87F-3790-4A95-A5E6-87F69D318293}\RP426\
         

Und hier noch mal die letzten Funde von AntiVir

Code: Alles auswählenAufklappen

ATTFilter

C:\Dokumente und Einstellungen\Karsten\Desktop\EmTec.ZOC.v5.04-Lz0.zip
  [0] Archivtyp: ZIP
  --> run.exe
      [FUND]      Enthält Signatur des Droppers DR/Zlob.Gen
      [INFO]      Die Datei wurde gelöscht.
C:\Dokumente und Einstellungen\Karsten\Desktop\twm2200e.zip
  [0] Archivtyp: ZIP
  --> crack.exe
      [FUND]      Ist das Trojanische Pferd TR/Drop.Small.AAO.2
      [INFO]      Die Datei wurde gelöscht
C:\RECYCLER\S-1-5-18\Dc3.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [INFO]      Die Datei wurde gelöscht.
C:\RECYCLER\S-1-5-18\Dc4.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [INFO]      Die Datei wurde gelöscht.
C:\RECYCLER\S-1-5-18\Dc5.dll
      [FUND]      Ist das Trojanische Pferd TR/Vundo.Gen
      [INFO]      Die Datei wurde gelöscht.
C:\WINDOWS\inetloader.dll
      [FUND]      Ist das Trojanische Pferd TR/Drop.Small.AAO.1
      [INFO]      Die Datei wurde gelöscht.
C:\WINDOWS\system32\winjjq32.dll
      [FUND]      Ist das Trojanische Pferd TR/PCK.Klone.T.4
      [WARNUNG]   Die Datei konnte nicht gelöscht werden!
         

Des weiteren habe ich die Datei.
C:\WINDOWS\system32\jkkjh.dll sowie die vermutlich dazugehörenden .ini Dateien aus dem Verzeichnis:C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SecTaskMan
entfernt.
Dazu noch meine Frage ist der Ordner "SecTaskMan" normal?

Nun dachte ich, schön wieder alles Ok, doch als ich nun einen Ordner freigeben wollte stellte ich etwas merkwürdiges fest.
Dort befanden sich nun so Skurile Benutzer wie "Batch Dialup" etc.
Ist das normal?
Hier mal ein Screenshot.
Benutzer.jpg

Ich komme da irgendwie nicht weiter und kann diese Konten auch nicht löschen.

Habe es auch mit Adaware versucht.
Ein Screen hier.
Adaware.jpg

Hoffe das mir jemand hier weiterhelfen kann.
Ich traue mich schon garnicht mehr ins Internet.

Vielen Dank im vorraus.
LG Rasy

Zitat:

C:\Dokumente und Einstellungen\Karsten\Desktop\twm2200e.zip
[0] Archivtyp: ZIP
--> crack.exe

Na was lädst du dir denn auch runter?
Software aus dubiosen Quellen ist häufig mit Schädlingen prepariert.
Werte mal die Datei

C:\WINDOWS\system32\winjjq32.dll

bei Virustotal oder Jotti aus und poste sämtliche Ergebnisse (auch Dateigröße und Hashangaben).
Führe auch mal Blacklight aus und poste das Ergebnis. Zur Übersicht bitte auch ein Hijackthis-Logfile posten.

Hallo.

Also die C:\WINDOWS\system32\winjjq32.dll
Kann ich leider nicht mehr prüfen, diese habe ich via Linux schon in die ewigen Jagdründe befördert.
Wenn das sehr wichtig sein sollte, kann ich aber versuchen, sie per EasyRecovery zurückzuholen.
Der Scan mit Blacklight erbrachte auch keine Funde.
Und ich denke Hijack log ist auch soweit OK hier mal im Anhang.
hijackthis.txt

Oder sollte ich den Ordner "System Volume Information" mal Löschen?

LG Rasy

PS: noch vergessen bei den o.g. Zip Dateien handelte es sich nur um eine Nummer diese war dort als txt Datei hinterlegt. Und ich habe die Archive auch nicht mit Windows geöffnet. Sie lagen halt nur auf dem Desktop.

Warum in aller Welt fehlt bei dir das SP2??
Unter diesen Umständen würde ich nicht mehr bei einer Bereinigung helfen wollen.
Bringt nichts. Elendlange Threads in der Vergangenheit wegen fehlendem SP2 und am Ende kam doch die Einsicht die Kiste neu aufzusetzen. Sorry, für mich ist Schluss hier...

Also bist du der Meinung besser neu aufsetzen mit SP2 Ja?

Ja, besser ist. Geh erst online mit SP2. Näheres in dem Link "Neu aufsetzen" in meiner Sig.