![]() |
|
Plagegeister aller Art und deren Bekämpfung: Hilfe Trojaner New Malware.ajWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Hilfe Trojaner New Malware.aj Hilfe gegenTrojanisches Pferd !?!? Bin leider kein Computerprofi, aber mein Sohn hat beim Versuch, ein online-Spiel runterzuladen bzw. sich auf irgendeinem Server anzumelden, ein Trojanisches Pferd mit erwischt, welches der Viren-Scanner erkannt hat. Unser Betriebssystem ist windows xp home edition, wir haben netowrk associates virus scan und Spyware doctor auf dem Rechner. Der Virusscanner zeigt folgendes an: Pfad: C:\Dokumente\user\Desktop\Moritz\Games\X-Perience\engine.de Erkannt als: New Malware.aj Status. fehlgeschlagen, da die Datei nicht gesäubert werden kann Ich wäre für konkrete, verständliche Hilfe sehr dankbar. Falls möglich würde ich lieber nicht das Betriebssystem neu installieren. Danke im voraus, Beate. |
![]() | #2 |
![]() ![]() | ![]() Hilfe Trojaner New Malware.aj Um vollkommen sicher zu gehen solltest du windows neu machen und dannach sofort alle passwörter von homepages auf denen du warst und email addy usw ändern wennde glück hast ist es noch net zu spät.
__________________allerdings wenn das av prog tatsächlich den trojaner gefunden hat kann es sein das du glück hattest und noch nichts passiert ist. wenn es wirklich ein backdoor war würde ich trotzdem neu machen ist das sicherste |
![]() | #3 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Hilfe Trojaner New Malware.aj Hi,
__________________sufffer bitte ignorieren der spammt nur. Erstell als erstes ein Hijackthislog, Anleitung findet sich im Unterforum Anleitungen und FAQ. Da es sich um eine heuristische Erkennung/um Erkennung einer unbekannten Malware handelt, kann es sich durchaus um einen Fehlalarm handeln. Lade die Datei daher bitte auch bei virustotal hoch und poste das Ergebnis der gesamten Auswertung (mit MD5 etc) hier. lg myrtille |
![]() | #4 |
![]() | ![]() Hilfe Trojaner New Malware.aj habe noch Fragen: a. alle links im log-file ersetzen? b. kann ich den im Virus-Scan angegebenen Ordner (ganzer Ordner, nicht einzelne Datei) ohne Bedenken in virustotal "Öffnen"? Danke. |
![]() | #5 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Hilfe Trojaner New Malware.aj Hi ![]() Zu 1) Ja bitte alle Links ersetzen: zb www durch *** oder http durch h**p. Zu 2) Ist engine.de ein Ordner? Bei virustotal kann man meines Wissens nur Dateien hochladen. lg myrtille |
![]() | #6 |
![]() | ![]() Hilfe Trojaner New Malware.aj Guten Morgen, Danke für die Antwort. Mein Problem war, dass ich engine.exe im angegebenen Pfad nicht gefunden habe. Hatte gestern keine Zeit mehr. Habe es jetzt unter C:\quarantine gefunden als engine.exe.Vir. Kann man das einfach auch so entfernen? Doch in Virustotal hoahladen? (Hab Schiss). Zudem habe ich noch weitere Dateien mit engine.exe von gestern gefunden, sowohl in C:\windows\prefetch als auch in C:\dokumente und einstellungen. Was mach ich mit denen? Vielen, vielen Dank, Gruß, Beate. |
![]() | #7 |
![]() | ![]() Hilfe Trojaner New Malware.aj Ich werde noch irre. Das HTJ-log will dieses Programm nicht als Anhang, datei sei ungültig?!? Wenn ich die engine.exe im virustotal hochlade, zeigt es mir nur einen Satz: bytes received/ Se ah recibido un archivo vacio, will wohl meinen, Datei leer? Kann diese Seite auch nicht irgendwie speichern oder verschieben. Die Datei unter Dokumente und Einstellungen ist in dem gleichen Ordner wie die erkannte Datei als update.zip bezeichnet, der Versuch, sie über virustotal hochzuladen, hat ewig gedauert und sich dann aufgehängt. Dummerweise habe ich überhaupt keine Zeit heute und weiß nicht so recht, wie jetzt weiter. Muss gleich bis morgen Abend weg. PC anlassen? Bitte um kurze Rückmaldung, Danke. |
![]() | #8 |
![]() ![]() | ![]() Hilfe Trojaner New Malware.aj Hallo BeatSch, ich glaube, Du kannst den PC ruhig ausmachen. Auf jeden Fall sollte solange keine Internetverbindung bestehen. Was meinst Du mit: "Das HTJ-log will dieses Programm nicht als Anhang, datei sei ungültig?!?" Du sollst dem HJT-Log nichts anhängen, sondern den Inhalt (die Schrift) der log-Datei, die HJT nach dem Scan erstellt, von Hand kopieren und hier wieder einfügen. Hast Du versucht, die engine.exe oder die engine.exe.Vir hochzuladen? |
![]() | #9 |
![]() | ![]() Hilfe Trojaner New Malware.aj Hallo, bitte um erneuten Versuch das Problem anzugehen. Auch mit Suchprogramm ist engine.exe nicht zu finden, nur engine.exe.Vir, dieses hatte ich in virustotal hochgeladen mit bekanntem Textergebnis. Hier jetzt das HTJ-log: Logfile of HijackThis v1.99.1 Scan saved at 18:32:13, on 04.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16512) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ULI5289\ALi5289.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe C:\Programme\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe C:\Programme\Spyware Doctor\SDTrayApp.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe C:\WINDOWS\system32\CTsvcCDA.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe C:\Programme\Network Associates\VirusScan\Mcshield.exe C:\PROGRA~1\NETWOR~1\COMMON~1\naPrdMgr.exe C:\Programme\Network Associates\VirusScan\VsTskMgr.exe C:\Programme\Spyware Doctor\svcntaux.exe C:\Programme\Spyware Doctor\swdsvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\System32\alg.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\Programme\hijackthis\hijackthis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = ***p://gxxxxxxxx.com/search/search_frame.php R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = ***p://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = ***p://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = ***p://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = ***p://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [ALi5289] C:\Programme\ULI5289\ALi5289.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [OpwareSE2] "C:\Programme\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" O4 - HKLM\..\Run: [OPSE reminder] "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\Ereg.exe" -r "C:\Programme\ScanSoft\OmniPageSE2.0\EregGer\ereg.ini" O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" /StartedFromRunKey O4 - HKLM\..\Run: [Network Associates Error Reporting Service] "C:\Programme\Gemeinsame Dateien\Network Associates\TalkBack\TBMon.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [CTSyncU.exe] "C:\Programme\Creative\Sync Manager Unicode\CTSyncU.exe" O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent O4 - HKCU\..\Run: [updateMgr] C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9 O4 - HKCU\..\Run: [Windows Update] C:\WINDOWS\system32\svhost.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing) O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O11 - Options group: [INTERNATIONAL] International* O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{C16DA5A8-27CA-4942-85E9-7B723F3EA320}: NameServer = 194.25.2.129 O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: McAfee Framework-Dienst (McAfeeFramework) - Network Associates, Inc. - C:\Programme\Network Associates\Common Framework\FrameworkService.exe O23 - Service: Network Associates McShield (McShield) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\Mcshield.exe O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Programme\Network Associates\VirusScan\VsTskMgr.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe |
![]() | #10 |
/// TB-Ausbilder ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() ![]() | ![]() Hilfe Trojaner New Malware.aj Hi, das Log sieht nicht gut aus. Erstelle bitte ein Kopie der Datei engine.exe.Vir auf deinem Desktop und lade diese dann bei Virustotal hoch. Werte bitte folgende Datei (!Der Dateiname muss genau identisch sein!) auch bei virustotal aus: C:\WINDOWS\system32\svhost.exe Meinen ersten Eindruck eines Fehlalarms muss ich leider widerrufen. ![]() lg myrtille |
![]() | #11 |
![]() | ![]() Hilfe Trojaner New Malware.aj Hallo, habe die angegebene Datei bei virustotal eingegeben, folgende Meldung: 0 bytes size received / Se ha recibido un archivo vacio. Beim Durchsuchen finde ich allerdings keine genau gleichlautende Datei, sondern nur C:\WINDOWS\system32\svchost engine.exe.Vir lässt sich nicht auf den Desktop kopieren, Zugriff wird verweigert, ich soll sicherstellen, ob Datei nicht schreibgeschützt bzw. gerade verwendet wird. Was tun? |
![]() |
Themen zu Hilfe Trojaner New Malware.aj |
betriebssystem, datei, desktop, dokumente, edition, erkannt, erwischt, folge, folgendes, hilfe trojaner, home, neu, pferd, server, spyware, spyware doctor, trojaner, trojanisches, trojanisches pferd, virus, virusscan, windows, windows xp, xp home |