hallo ihr da draussen.. ich hab mir auf meinem pc den trojaner mohbpork eingefangen. leider habe ich von pc nicht sehr viel ahnung. kann mir jemand von euch sagen wie ich diesen mist wieder von meinem pc runter bekomme??? antivir findet ihn zwar und löscht ihn auch, aber beim nächsten scan ist er dann wieder da. im meinen favoriten kann ich stellenweise die links die ich da gespeichert habe nicht mehr aufrufen. ( wenn ich sie 2-3 mal angeklickt habe kann ich sie nicht mehr aufrufen... )

gibt es da irgendein programm oder mus ich windows neu installieren, oder oder oder ???? bin für jede hilfe dankbar.

danke im vorraus

ehm ja gute ich kann dir da ned wirklich helfen da ich mich ned mit antivir
auskenne aba eins kann ich dir sagen ich denke nicht das du gleich windows neu draufspielen musst...

ich hoffe das der bald weg is

Hi Modspaul!

Erstelle bitte mal ein HijackThis Logfile und poste es.

Erstelle dir ein eingeschränktes Benutzer Konto falls du noch keins hast.

Versuche mal Windows mit den abgesicherten Modus zu starten ( ich glaube F8 Taste beim Start) und dan den Trojaner mit Antivir zu löschen.


lg

hier ist mein logfile...

Logfile of HijackThis v1.99.1
Scan saved at 20:39:38, on 19.12.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ScanSoft\OmniPageSE\opware32.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
D:\iTunes\iTunesHelper.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Yahoo!\Messenger\YahooMessenger.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Christian\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ie/defaults/sp/msgr8/*http://de.search.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ie/defaults/su/msgr8/*http://de.search.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [iTunesHelper] "D:\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O11 - Options group: [INTERNATIONAL] International*
O16 - DPF: {2E28242B-A689-11D4-80F2-0040266CBB8D} (KX-HCM10 Control) - http://80.199.4.57:81/kxhcm10.ocx
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-611111193429} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1131-1111-1111-611111193428} -
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/eBay_Enhanced_Picture_Control_v1-0-3-48.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F84628D9-610E-4AD7-9EFC-84B8811D17FC}: NameServer = 85.255.115.98 85.255.112.80
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.98 85.255.112.80
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.98 85.255.112.80
O20 - AppInit_DLLs: javaexa.dll
O20 - Winlogon Notify: pasksa - pasksa.dll (file missing)
O20 - Winlogon Notify: WRNotifier - WRLogonNTF.dll (file missing)
O20 - Winlogon Notify: xartcd5 - xartcd5.dll (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: ServiceLayer - Nokia. - C:\Programme\Gemeinsame Dateien\PCSuite\Services\ServiceLayer.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe

Hi!

Also bei der Onlineauswertung: HijackThis Log file
kamen einige Dialer zum Vorschein und auch eine Böse Datei.

Mit diesen Onlinescan: Online malware scan prüfe die verdächtigen Dateien wo noch kein Dialer oder Böse steht ob sie auch Schadsoftware enthalten.

Gehe also in den abgesichterten Modus und fixe die infizierten Dateien mit Hijackthis.

Lass dan mal dein Antivir Sicherheitshalber drüberlaufen.

Ich würde noch Ad Aware SE oder ein ähnliches Programm benutzen um dich besser vor SPY und Maleware zu schützen und diese zu entfernen.


Ad aware:




Download: 1

CHIP Online - Download - Ad-aware SE Personal 1.0.6 Englisch


2. Es ist Englisch, aber falls du es auf Deutsch haben willst einfach nachdem du Ad Aware installierst hast noch dieses Language Pack installieren:

Download: Ad-Aware, deutsche Sprachdatei - SICHERHEIT - DATENSCHUTZ & SICHERHEIT - SICHERHEIT - DOWNLOADS - PC-Welt - pcwelt.de

Zitat:
Nach dem Download der Datei müssen Sie zunächst per Klick auf "pllangs.exe" die Installationsroutine starten. Neben der Annahme der Lizenzvereinbarungen werden Sie darin gebeten, festzulegen, welche Sprachendateien installiert werden sollen. Standardmäßig sind bei allen verfügbaren Sprachen Häkchen gesetzt.

Anschließend starten Sie Ad-aware SE, gehen in das Konfigurationsmenü der Software und den Menüpunkt Interface. Dort können Sie "german“ als Sprachdatei auswählen. Ein weiterer Klick auf "Proceed“ beendet die Prozedur.

Nach installation gleich ein Update machen und einen Scan durchführen, bin gespannt was er noch so alles findet.



-----------------------------------------------------------------------

Ob jetzt alle Schadsoftware entfernt ist kan man nicht sagen, falls du einen hartnäckigen Backdoor hast wird dir eine Neuaufsetzung wahrscheinlich nicht erpart bleiben.

lg



PS.

Welche Sicherheitssoftware benutzt du?
Machst du regelmässig updates?
Benutzt du ein Eingeschränktes Windows Benutzerkonto um zu surfen?

Hallo auch

mit den Ergebnissen der Onlineauswertung bei HijackThis, sollte man generell sehr vorsichtig sein .
Troj/Haxdor-Gen
ist in dem System aktiv, es handelt sich um einen Backdoortrojaner der noch dazu mit Rootkittechniken versucht sich oder seine Dateien zu verstecken, daher gibt es nur eine vernümpftige vorgehensweise - folge dieser Anleitung zum Neuaufsetzen des Systems und anschließender Absicherung.
Ändere auch alle deine Passwörter nach dem Neuaufsetzen.

MFG