Hallo,

ich habe auf meinem Pc einen Trojaner entdeckt.
Win32.trojanClick.Spywad.b
(ich hab keine Ahnung was das für einer ist)

Wie kann ich diesen Trojaner denn wieder entfernen??
( ich habe schon mal einen Onlinescan laufen lassen und habauch schonnen Log von HijackThis. Soll ich den auch hier dann posten?
Vielleicht hat jemand von Euch eine Idee.

Danke !!!

Hallo.

Wo wurde der entdeckt? Bitte Pfadangabe posten. Poste auch das HJT-Logfile.

Mit Spy Heal wurde in der Registry folgendes gefunden:

Win32.trojanClick.Spywad.b
[HKEY_CLASSES_ROOT\CLSID\{f39d0dee-b2f0-4591-9187-1cc39c1df98a}]

und
[HKEY_LOKAL_MACHINE\SOFTWARE\Microsoft\CurrentVersion\Explorer\SharedTaskScheduler]

und als File:
C:\WINNT\System32\kzpkwi.dll




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:36:42, on 10.09.2007
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\System32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\WINNT\System32\msdtc.exe
C:\WINNT\System32\llssrv.exe
C:\WINNT\system32\MSTask.exe
C:\Programme\QSC AG\Tango\app\TangoService.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\System32\inetsrv\inetinfo.exe
C:\WINNT\Explorer.exe
C:\WINNT\TEMPmbroit.exe
C:\WINNT\mgrs.exe
C:\WINNT\System32\internat.exe
C:\Programme\VirusProtectPro 3.7\VirusProtectPro 3.7.exe
C:\Dokumente und Einstellungen\All Users.WINNT\Startmenü\Programme\Autostart\autorun.exe
C:\WINNT\system32\Dfssvc.exe
C:\WINNT\System32\svchost.exe
C:\PROGRA~1\QSCAG~1\Tango\app\TangoLite.exe
C:\WINNT\System32\taskmgr.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\PROGRA~1\COFFEE~1\FreeZip\cczip.exe
C:\WINNT\System32\mdm.exe
C:\Dokumente und Einstellungen\Administrator.RAPHAELA\Lokale Einstellungen\Temp\HiJackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = Nachrichten, Unterhaltung, Sport, Lifestyle, Finanzen, Auto und mehr bei MSN
F2 - REG:system.ini: Shell=Explorer.exe C:\WINNT\System32\printer.exe
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - C:\WINNT\System32\vtr.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O3 - Toolbar: Protection Bar - {F06E2ABE-3A50-4079-BE25-FC100D9EAA25} - C:\Programme\Image ActiveX Access\iesbpl.dll
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\windows\rdrive\hblPk.exe
O4 - HKLM\..\Run: [avp] C:\WINNT\TEMPmbroit.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINNT\System32\WinAvXX.exe
O4 - HKLM\..\Run: [VirusProtectPro 3.7] "C:\Programme\VirusProtectPro 3.7\VirusProtectPro 3.7.exe" /h
O4 - HKLM\..\Run: [SpyHeal 4.0] "C:\Programme\SpyHeal 4.0\SpyHeal 4.0.exe" /h
O4 - HKLM\..\RunOnce: [MigrateMMDrivers] rundll32.exe mmsys.cpl,mmseRunOnce
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [WinAVX] C:\WINNT\System32\WinAvXX.exe
O4 - HKCU\..\Run: [Error Safe Free] "C:\Programme\ErrorSafe Free\uers.exe" /min
O4 - HKLM\..\Policies\Explorer\Run: [user32.dll] C:\Programme\Image ActiveX Access\iesmn.exe
O4 - HKLM\..\Policies\Explorer\Run: [rare] C:\Programme\Image ActiveX Access\imsmain.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [WinAVX] C:\WINNT\System32\WinAvXX.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\Run: [Ultimate Cleaner] "C:\Programme\Ultimate Cleaner\UltimateCleaner.exe" hide (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - .DEFAULT Startup: system.exe (User 'Default user')
O4 - Startup: system.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: autorun.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1189361401052
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A52CF0C2-7DA1-45D8-A786-3F3D4D55F824}: NameServer = 213.148.129.10 213.148.130.10
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\WINNT\System32\systems.txt
O22 - SharedTaskScheduler: biisk - {f39d0dee-b2f0-4591-9187-1cc39c1df98a} - C:\WINNT\System32\kzpkwj.dll
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Windows Network Services (SvcHost32) - Unknown owner - C:\WINNT\system\svchost32.exe (file missing)
O23 - Service: Tango Service (TangoService) - Unknown owner - C:\Programme\QSC AG\Tango\app\TangoService.exe
O23 - Service: Windows Central Process - Unknown owner - C:\WINNT\system32\svshost.exe (file missing)

--
End of file - 5277 bytes

Danke!

Hallo

ich bin zwar nicht unsere Winkelfunktion aber ich kann dir sagen, dass dein System hoffnungslos verseucht ist mit mehreren Backdoortrojanern die solche Sachen hier drauf haben

Zitat:

* Schaltet Antiviren-Anwendungen aus
* Ermöglicht Dritten den Zugriff auf den Computer
* Verändert Daten auf dem Computer
* Löscht Dateien vom Computer
* Stiehlt Daten
* Lädt Code aus dem Internet herunter
Suche nach remoten Computern, auf die er sich verbreiten kann
Verwendung als FTP- oder HTTP-Server
Speichern aller, auf dem infizierten Computer eingegebenen Tastenfolgen
Teilnahme an Distributed Denial-of-Service (DDoS)-Attacken
Hochladen, Herunterladen, Suchen nach und Ausführen von Dateien
Beenden von Sicherheitsprogrammen

der Hauptgrund für diese zahlreichen infektionen ist der unzureichende Patchstand deines Systems

Zitat:

Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP2 (5.00.2920.0000)

für Win2000 gibt es das Servicepack 4 und der IE in der Version 6 mit SP1.

Folge dieser Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere unbedingt nach der Neuinstallation ALLE deine Pass/Kennwörter.

MFG

EDIT Moin cosinus, waren heut' zum Shoppen in deiner Heimat war sehr nett

Als Bremer Winkelfunktion kann ich da dem Hamburger nochdigger uneingeschränkt zustimmen!

Puh.

Ich hatte erst vor kurzem mein gesamtes System aus demselben Grund plätten lassen. Deshalb hat es mich auch so geärgert gleich wieder damit konfrontiert zu sein.
Vielen Dank für euren Rat. Gibt es denn eine Möglichkeit sich davor zu schützen, dass so was nochmal passiert?

Vielen Dank für eure Hilfe!!!!!

Hallo

in der Anleitung zum neu aufsetzen findest du eine Menge weiterführende Links die dir auf deine Fragen reichlich Antworten liefern z.B. hier
- Einlesen Kompromittierung unvermeidbar?

MFG