|
Plagegeister aller Art und deren Bekämpfung: Bitte um Rat zu Trojaner.Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
24.01.2007, 20:18 | #1 |
| Bitte um Rat zu Trojaner. Seit einiger Zeit macht mir mein PC ziemliche Sorgen. Ich habe mir einen Trojaner eingefangen. Konnte ihn schon lokalsieren jedoch nicht entfernen, auch nicht im Abgesicherten modus. Habe die datei dann von virustotalscan überprüfen lassen. Mit diesem Ergebnis: Complete scanning result of "rege2usb.dll", received in VirusTotal at 01.24.2007, 17:02:15 (CET). Antivirus Version Update Result AntiVir 7.3.0.26 01.24.2007 BDS/Haxdoor.GJ.1 Authentium 4.93.8 01.23.2007 W32/Trojan.OEM Avast 4.7.936.0 01.24.2007 Win32:Goldun-FK AVG 386 01.23.2007 PSW.Generic2.PBX BitDefender 7.2 01.24.2007 Generic.Malware.SFYdlwdld.155A6060 CAT-QuickHeal 9.00 01.24.2007 no virus found ClamAV devel-20060426 01.24.2007 no virus found DrWeb 4.33 01.24.2007 Trojan.PWS.GoldSpy eSafe 7.0.14.0 01.23.2007 no virus found eTrust-InoculateIT 23.73.121 01.24.2007 Win32/Haxdoor.6ef!DLL!Trojan eTrust-Vet 30.3.3347 01.24.2007 Win32/Starimp!generic Ewido 4.0 01.24.2007 Logger.Goldun.nj Fortinet 2.85.0.0 01.24.2007 W32/Goldun.NJ!tr.spy F-Prot 3.16f 01.23.2007 destructive program named W32/Trojan.OEM F-Prot4 4.2.1.29 01.23.2007 W32/Trojan.OEM Ikarus T3.1.0.27 01.24.2007 Trojan-Spy.Win32.Goldun Kaspersky 4.0.2.24 01.24.2007 Trojan-Spy.Win32.Goldun.nj McAfee 4947 01.23.2007 no virus found Microsoft 1.1904 01.24.2007 TrojanSpy:Win32/Goldun.gen!dll NOD32v2 2002 01.24.2007 a variant of Win32/Spy.Goldun.GU Norman 5.80.02 01.24.2007 W32/Haxdoor.BAW Panda 9.0.0.4 01.24.2007 Suspicious file Prevx1 V2 01.24.2007 no virus found Sophos 4.13.0 01.24.2007 Troj/Haxdor-Fam Sunbelt 2.2.907.0 01.22.2007 no virus found TheHacker 6.0.3.155 01.24.2007 Trojan/Spy.Goldun.nj UNA 1.83 01.24.2007 Trojan.Spy.Win32.Goldun.C0F7 VBA32 3.11.2 01.23.2007 suspected of Malware.Agent.40 VirusBuster 4.3.19:9 01.23.2007 TrojanSpy.Goldun.OJ Aditional Information File size: 20239 bytes MD5: af441e157cfd893ed42e06e9bf683248 SHA1: 72e3ece26cdf029a5270bbb13dfc548db3f85298 packers: UPX packers: UPX packers: UPX packers: UPX packers: UPX Ich habe keine Ahnung wie ich HJT als Link hinterlege also kopiere ich den logfile hier rein. Der scan hat Folgendes ergeben: Logfile of HijackThis v1.99.1 Scan saved at 17:21:34, on 24.01.2007 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Programme\Java\jre1.5.0_10\bin\jusched.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\WINDOWS\System32\wpmgpro.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe C:\Programme\Creative\Bluetooth Software\BTTray.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\Creative\BLUETO~1\BTSTAC~1.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe C:\Programme\Creative\Bluetooth Software\bin\btwdins.exe D:\feel good\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe D:\feel good\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Suchspur - {5D945E9A-DC10-4670-83EB-99DAA616628A} - C:\WINDOWS\System32\Suchspur.dll (file missing) O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll (file missing) O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Ati Display Settings] C:\WINDOWS\System32\atividx.exe O4 - HKLM\..\Run: [AutoSys] C:\WINDOWS\System32\autosys.exe O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" O4 - HKLM\..\Run: [Windows Control] wpmgpro.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\RunServices: [Ati Display Settings] C:\WINDOWS\System32\atividx.exe O4 - HKLM\..\RunServices: [Windows Control] wpmgpro.exe O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1 O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe O4 - HKCU\..\Run: [WinInit] "C:\DOKUME~1\"Realname"\LOKALE~1\Temp\453051.exe " O4 - HKCU\..\Run: [WinUpdate] "C:\DOKUME~1\"realname"\LOKALE~1\Temp\453241.exe " O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\System32\taskdir.exe O4 - HKCU\..\Run: [Windows Control] wpmgpro.exe O4 - HKCU\..\Run: [userinit.exe] C:\WINDOWS\userinit.exe O4 - HKCU\..\Run: [ÑÒFÌÎN.EXE] C:\WINDOWS\ÑÒFÌÎN.EXE O4 - Global Startup: Erinnerungen für Microsoft Works-Kalender.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: BTTray.lnk = ? O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Fake\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Suchen - res://C:\WINDOWS\System32\Suchspur.dll/Suchspur.HTM O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Senden an &Bluetooth - C:\Programme\Creative\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~4\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Fake\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Fake\ICQLite\ICQLite.exe O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Creative\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Programme\Creative\Bluetooth Software\btsendto_ie.htm O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab34246.cab O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\System32\btxppanel.dll O20 - Winlogon Notify: rege2usb - C:\WINDOWS\SYSTEM32\rege2usb.dll O21 - SSODL: ExfyfAJy - {25450FE9-8FEF-A543-E04C-DF225C388AC6} - C:\WINDOWS\System32\ryen.dll (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation - C:\Programme\Creative\Bluetooth Software\bin\btwdins.exe O23 - Service: COM+ Messages - Unknown owner - C:\WINDOWS\System32\svchosts.exe" -e te-110-12-0000273 (file missing) O23 - Service: ICF - Unknown owner - C:\WINDOWS\System32\icf.exe (file missing) O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - D:\feel good\iPod\bin\iPodService.exe Würde mich über Hilfe bei der Auswertung sehr freuen! Ich habe schon über diese Art Trojaner gelesen jedoch wurde stets nur ein neu Aufsetzen des Systems empfohlen. Das wäre jedoch sehr schmerzhaft da ich nur USB1 habe und die Datensicherung somit sehr schwierig werden würde. Ich hoffe das es eine ander Lösung gibt! Über ratschläge würde ich mich SEHR freuen!!! MfG |
24.01.2007, 21:36 | #2 | |
Administrator > Competence Manager | Bitte um Rat zu Trojaner. Hallo.
__________________Kurz und knapp gesagt, hier hilft nur noch eine Neuinstallation! Das System ist Kompromittiert, und keine Bereinigung mehr möglich. Wurm Trojan.Abwiz.F-Rootkit W32/Brontok-BB Troj/Goldun-T und noch vieles mehr... Zitat:
Sunny
__________________ |
24.01.2007, 21:58 | #3 |
| Bitte um Rat zu Trojaner. Nun ja.
__________________ich wills mal so ausdrücken. Vielen dank für diese schlechte Nachricht. Manche Äpfel sind Sauer aber dennoch sind sie Gesund. Ich hoffe das dieser F*#% mir nicht noch später Ärger bereitet. In diesem Sinne bis im neuen System. MFG |
Themen zu Bitte um Rat zu Trojaner. |
adobe, avira, bho, computer, downloader, entfernen, explorer, firefox, hijack, hijackthis, internet, internet explorer, keine ahnung, logfile, mozilla, mozilla firefox, neu aufsetzen, photoshop, pop-up-blocker, senden, software, system, temp, trojaner, userinit.exe, virus, windows, windows xp |