|
Plagegeister aller Art und deren Bekämpfung: Trojaner Mohbpork eingefangen.. wie werde ich ihn los???Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.12.2006, 12:29 | #1 |
| Trojaner Mohbpork eingefangen.. wie werde ich ihn los??? hallo ihr da draussen.. ich hab mir auf meinem pc den trojaner mohbpork eingefangen. leider habe ich von pc nicht sehr viel ahnung. kann mir jemand von euch sagen wie ich diesen mist wieder von meinem pc runter bekomme??? antivir findet ihn zwar und löscht ihn auch, aber beim nächsten scan ist er dann wieder da. im meinen favoriten kann ich stellenweise die links die ich da gespeichert habe nicht mehr aufrufen. ( wenn ich sie 2-3 mal angeklickt habe kann ich sie nicht mehr aufrufen... ) gibt es da irgendein programm oder mus ich windows neu installieren, oder oder oder ???? bin für jede hilfe dankbar. danke im vorraus |
18.12.2006, 13:48 | #2 |
| Trojaner Mohbpork eingefangen.. wie werde ich ihn los??? ehm ja gute ich kann dir da ned wirklich helfen da ich mich ned mit antivir
__________________auskenne aba eins kann ich dir sagen ich denke nicht das du gleich windows neu draufspielen musst... ich hoffe das der bald weg is |
18.12.2006, 14:04 | #3 |
| Trojaner Mohbpork eingefangen.. wie werde ich ihn los??? Hi Modspaul!
__________________Erstelle bitte mal ein HijackThis Logfile und poste es. Erstelle dir ein eingeschränktes Benutzer Konto falls du noch keins hast. Versuche mal Windows mit den abgesicherten Modus zu starten ( ich glaube F8 Taste beim Start) und dan den Trojaner mit Antivir zu löschen. lg |
19.12.2006, 20:44 | #4 |
| Trojaner Mohbpork eingefangen.. wie werde ich ihn los??? hier ist mein logfile... Logfile of HijackThis v1.99.1 Scan saved at 20:39:38, on 19.12.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\Programme\Java\jre1.5.0_06\bin\jusched.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe D:\iTunes\iTunesHelper.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\Programme\Yahoo!\Messenger\YahooMessenger.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\Internet Explorer\iexplore.exe C:\PROGRA~1\WINZIP\winzip32.exe C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://80.199.4.57:81/kxhcm10.ocx O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} - O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F84628D9-610E-4AD7-9EFC-84B8811D17FC}: NameServer = 85.255.115.98 85.255.112.80 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.98 85.255.112.80 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.98 85.255.112.80 O20 - AppInit_DLLs: javaexa.dll O20 - Winlogon Notify: pasksa - pasksa.dll (file missing) O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing) O20 - Winlogon Notify: xartcd5 - xartcd5.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe |
20.12.2006, 19:25 | #5 |
| Trojaner Mohbpork eingefangen.. wie werde ich ihn los??? Hi! Also bei der Onlineauswertung: HijackThis Log file kamen einige Dialer zum Vorschein und auch eine Böse Datei. Mit diesen Onlinescan: Online malware scan prüfe die verdächtigen Dateien wo noch kein Dialer oder Böse steht ob sie auch Schadsoftware enthalten. Gehe also in den abgesichterten Modus und fixe die infizierten Dateien mit Hijackthis. Lass dan mal dein Antivir Sicherheitshalber drüberlaufen. Ich würde noch Ad Aware SE oder ein ähnliches Programm benutzen um dich besser vor SPY und Maleware zu schützen und diese zu entfernen. Ad aware: Download: 1 CHIP Online - Download - Ad-aware SE Personal 1.0.6 Englisch 2. Es ist Englisch, aber falls du es auf Deutsch haben willst einfach nachdem du Ad Aware installierst hast noch dieses Language Pack installieren: Download: Ad-Aware, deutsche Sprachdatei - SICHERHEIT - DATENSCHUTZ & SICHERHEIT - SICHERHEIT - DOWNLOADS - PC-Welt - pcwelt.de Zitat: Nach dem Download der Datei müssen Sie zunächst per Klick auf "pllangs.exe" die Installationsroutine starten. Neben der Annahme der Lizenzvereinbarungen werden Sie darin gebeten, festzulegen, welche Sprachendateien installiert werden sollen. Standardmäßig sind bei allen verfügbaren Sprachen Häkchen gesetzt. Anschließend starten Sie Ad-aware SE, gehen in das Konfigurationsmenü der Software und den Menüpunkt Interface. Dort können Sie "german“ als Sprachdatei auswählen. Ein weiterer Klick auf "Proceed“ beendet die Prozedur. Nach installation gleich ein Update machen und einen Scan durchführen, bin gespannt was er noch so alles findet. ----------------------------------------------------------------------- Ob jetzt alle Schadsoftware entfernt ist kan man nicht sagen, falls du einen hartnäckigen Backdoor hast wird dir eine Neuaufsetzung wahrscheinlich nicht erpart bleiben. lg PS. Welche Sicherheitssoftware benutzt du? Machst du regelmässig updates? Benutzt du ein Eingeschränktes Windows Benutzerkonto um zu surfen? |
20.12.2006, 19:45 | #6 |
| Trojaner Mohbpork eingefangen.. wie werde ich ihn los??? Hallo auch mit den Ergebnissen der Onlineauswertung bei HijackThis, sollte man generell sehr vorsichtig sein . Troj/Haxdor-Gen ist in dem System aktiv, es handelt sich um einen Backdoortrojaner der noch dazu mit Rootkittechniken versucht sich oder seine Dateien zu verstecken, daher gibt es nur eine vernümpftige vorgehensweise - folge dieser Anleitung zum Neuaufsetzen des Systems und anschließender Absicherung. Ändere auch alle deine Passwörter nach dem Neuaufsetzen. MFG |
Themen zu Trojaner Mohbpork eingefangen.. wie werde ich ihn los??? |
angeklickt, antivir, aufrufe, favoriten, geklickt, gespeichert, installiere, installieren, links, lösch, löscht, neu, nicht mehr, programm, runter, scan, stelle, troja, trojaner, windows |