Hallo ,
ich habe mir eine Datei runtergeladen die mit einem Trojaner infiziert war.
Nachdem sich der PC aufgehangen hat , musste ich ihn dann runterfahren , als ich ihn dann wieder hochfuhr hatte ich kein desktop mehr , nurnoch das Hintergrundbild. Ich bin ins Internet via Strg+Alt+Entf gekommen. Wenn ich im Taskmanager Explorer.exe eingeben erscheint mein Desktop zwar wieder , jedoch nur für wenige sekunden und ist dann wieder weg , das wiederholt sich ca 3-4x und dann ist wieder nur das Hintergrundbild da.Den Trojaner habe ich mittlerweile (hoffentlich) vollständig via Kapersky vernichtet. Ich hoffe ihr könnt mir helfen.
Mit freundlichen grüßen
Tobias

Hallo ,
ich habe mir eine Datei runtergeladen die mit einem Trojaner infiziert war.

Zitat:

Den Trojaner habe ich mittlerweile (hoffentlich) vollständig via Kapersky vernichtet.

Nein, wenn es ein Trojaner war, kaum. Und das von Dir geschilderte Problem besteht doch immer noch, oder?

Zitat:

Ich hoffe ihr könnt mir helfen.

Bist Du in der Lage, HJT nach dieser Anleitung auszuführen?

http://www.trojaner-board.de/22770-a...log-files.html

Hast Du es schon im abgesicherten Modus probiert?

Ansonsten, wenn gar nichts mehr geht, evtl. über eine Live-CD probieren. Aber versuche bitte erst mal das Log hier nach Anweisung von GUA reinzustellen!

Das hört sich für mich fast nach dem fürchterlichen Fehlalarm (vor)letzter Woche an. Wann ist das passiert ?

Es muss nicht unbedingt ein Zusammenhang zwischen der heruntergeladenen Datei und der Virusmeldung geben.
Wenn Virus Worm Win32 Huhk.c
gefunden wurde, solltest du so vorgehen:

1. Starten Sie den Rechner normal und melden sich unter Ihrem Benutzernamen an
2. Nun drücken Sie auf Ihrer Tastatur die Tasten "Strg"+"Alt"+"Entf", um den Task-Manager zu starten
3. Hier klicken Sie bitte auf "Datei"->"Neuer Task (Ausführen…)", geben dort "cmd" (ohne "")ein und bestätigen mit der "Enter"-Taste
4. Im neu geöffnetem Fenster geben Sie bitte "cd\" (ohne "") ein und bestätigen dies wieder
5. Nun geben Sie folgendes ein, um in den Pfad zu gelangen, in welchem Kaspersky installiert ist (immer ohne ""):
a) "cd Programme"
"cd Kaspersky Lab"
c) "cd Kaspersky Internet Security 6.0"(für Kaspersky Internet Security 6.0), "cd Kaspersky Anti-Virus 6.0" (für Kaspersky Anti-Virus 6.0), "cd Kaspersky Internet Security 7.0" (für Kaspersky Internet Security 7.0) oder "cd Kaspersky Anti-Virus 7.0" (für Kaspersky Anti-Virus 7.0)
d) Nun geben Sie bitte "avp.exe" ein, bestätigen Sie mit "Enter" und geben dies anschließend noch ein 2. Mal ein, damit das Fenster des Kaspersky Programms sich öffnet
6. Im Kaspersky Fenster klicken Sie nun auf "Schutzstatus Ihres Computers" (bei Version 7), bzw. "Alle Bedrohungen wurden neutralisiert" (bei Version 6)
7. Hier wählen Sie den Registerreiter "Backup", bzw. "Quarantäne", je nachdem ob Sie bei der Meldung "Löschen" oder "Quarantäne" ausgewählt haben.
8. Klicken Sie nun die Datei "explorer.exe" mit der rechten Maustaste an und wählen "Wiederherstellen". Die Frage bestätigen Sie bitte mit "Ja".
9. Im neuen Fenster gehen Sie bitte in den Windows-Ordner (Standard unter: "C:\Windows\") und stellen die Datei dort wieder her.
10. Anschließend nur noch einen Neustart des Rechners durchführen.



Vielleicht liege ich mit meiner Vermutung auch daneben.


Domino

N`abend ,
erstmal vielen , vielen dank für die Antworten , gibt wohl doch noch nette Menschen auf der Welt . Also Clermont-Ferrand , erst zu dir , nein ich bin nicht in der Lage HJT auszuführen ^^ ich weiss nichtmal was es heisst. Nun zu dir Domino , ich bin zwar nicht wie von dir beschrieben ins Kaspersky Fenster gekommen , doch via den Taskmanager.Die im Backup Ordner gesammelten Dateien habe ich alle "bearbeitet" , und danach waren sie nichtmehr da , ich schätze sie wurden gelöscht.

@Tobias

Zitat:

Die im Backup Ordner gesammelten Dateien habe ich alle "bearbeitet" , und danach waren sie nichtmehr da , ich schätze sie wurden gelöscht.

Darf ich dann Deinem letzten Post entnehmen, daß alles wieder ok ist? :-)

Oder doch nicht?

HJT = HijackThis = eine Möglichkeit, einen Ersteindruck von der Konfiguration und möglicher Schädlinge von einem PC zu bekommen.

Sollte das nach wie vor nicht klappen, (mit HJT meine ich), ist die Live-CD vielleicht eine Alternative. Hast Du einen 2. sauberen PC mit schnellem Internetzugang?

Nein es ist leider noch nichts ok . Da die Datei "explorer.exe" wahrscheinlich auch im Back up Ordner war habe ich sie wahrscheinlich ja mitgelöscht.Und ja ich habe einen 2ten PC mit schnellen Internetzugang , jedoch bitte ich um eine Erklärung der "Live-CD".
Mfg
Tobias
(Ich bin wirklich dankbar für die Hilfe )

Live-CD

2 Möglichkeiten:

1. ) Du besorgst Dir folgendes Heft: c't 26/2007, S. 98: c't-Notfall-CD: Hardware-Diagnose kostet 3,30 Euro

Im Heft liegt eine Notfall-CD bei, mit dieser kannst Du Dein System booten und mittels des integrierten Scanners (NOD32) Deinen Rechner unabhängig von Windows scannen, aber, Datensicherung ist nicht möglich.

2.) 2. PC nötig, funktionierender Brenner, CD-Rohlinge
Navigiere zu folgendem Link: Complete Download Options List | Ubuntu Suche Dir unter *Europa* und *Deutschland* einen Server zum Download aus.

Speichere die Datei auf der Festplatte, der Dateityp muß .iso sein. (Größe knapp 700 MB!) Sodann mit dem Brennprogramm die Option wählen: *Image auf Disk brennen*, wähle die .iso-Datei aus, bestätige.

Deinen Rechner im BIOS umstellen, so daß er von CD als 1. Laufwerk bootet, und nicht von der Festplatte. Von CD starten, es kommt ein Menü, wo Du die Sprache mittels F-Taste einstellen kannst. Für Deutsch wähle F2. Wenn Ubuntu gestartet ist, kannst Du über die Internetoptionen mit dem Firefox ins I-net (Router vorausgesetzt) und Dir weitere Hilfe holen.

Ferner, Datensicherung betreiben. Du erkennst, was Deine Dateien sind (z. B. Bilder, Texte, MP3s etc.) und Du kannst sie unter Ubuntu sichern. Wenn Du sie auf einem USB-Stick zwischenspeichern möchtest, geht auch das, das wird von Ubuntu unterstützt. Solltest Du in der Vergangenheit den Stick allerdings angestöpselt haben, ist davon auszugehen, daß er auch verseucht ist. Du mußt ihn als 1. unter Ubuntu formatieren, danach kannst Du Deine *guten* Dateien auf ihm speichern.

Programm- und Installationsdateien sind allerdings tabu. Wie möchtest Du denn weiter vorgehen? In Anbetracht Deines geschilderten Problems bleiben ja nicht allzuviele Möglichkeiten, es sei denn, Du hättest ein Image, aber dann würdest Du auch nicht um Hilfe bitten.

Ok , diese Variante werde ich mal in Betracht ziehen , jedoch möchte ich noch auf eine Stellungnahme von Domino warten , ob ich mit dem Backup ordner noch etwas machen kann

Ich weiß ja nicht ob das von mir vermutete Problem überhaupt besteht.

In c:\windows muss sich die "explorer.exe" befinden.
Ist sie dort, besteht das von mir vermutete Problem nicht. Ist sie dort nicht, musst du sie von einem xp-System kopieren und dort einfügen.


Domino

Also , in c:\windows befindet sich die Datei explorer.exe , wie gehe ich nun weiter vor?

Ich lag falsch, halte dich an Clermont-Ferrand
erstelle ein Hijackthislog (siehe frühere postings)



Domino

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:48:39, on 30.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\ICQ6\ICQ.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Dokumente und Einstellungen\*****\Desktop\HJT\HijackThis.exe
C:\WINDOWS\explorer.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.elite-home.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\tbuB\toolbaru.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\tbuB\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar4.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Conceptronic Conceptronic 54Mbps Wireless Utility] C:\Programme\Conceptronic\Conceptronic 54Mbps Wireless Utility\WLANmon.exe
O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Programme\ANI\ANIWZCS2 Service\WZCSLDR2.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe"
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [NapsterShell] C:\Programme\Napster\napster.exe /systray
O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize
O4 - HKLM\..\Run: [OESpamTest] C:\PROGRA~1\KASPER~1\KASPER~1\KASPER~3\OESpamTest.ExE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [tkxqrgpy] rundll32.exe "C:\Programme\jaxytsvm\jufubyxq.dll",Init
O4 - HKLM\..\Run: [rcpqbire] regsvr32 /u "C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\rcpqbire.dll"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\system32\drvluc.dll,startup
O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
O4 - HKLM\..\Run: [smgr] mgrs.exe
O4 - HKLM\..\Run: [lsass] C:\WINDOWS\lsass.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BLASC] "C:\Programme\World of Warcraft\BLASC\BLASC.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [BitTorrent] "C:\Programme\BitTorrent\bittorrent.exe" --force_start_minimized
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\BitTorrent_DNA\dna.exe"
O4 - HKCU\..\Run: [Outerinfo] "C:\Programme\Outerinfo\Outerinfo.exe"
O4 - HKCU\..\Run: [OuterinfoUpdate] "C:\Programme\Outerinfo\OuterinfoUpdate.exe"
O4 - HKLM\..\Policies\Explorer\Run: [Hlw7v01cKb] rundll32.exe "C:\WINDOWS\system32\ndaTqsVqrX.dll",DllCleanServer
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://webcam.fantasy.de/AxisCamControl.ocx
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Kaspersky Anti-Virus service (kavsvc) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

--
End of file - 7197 bytes


Ich hoffe ich habs richtig gemacht

Tobias, mache bitte nun folgendes:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\avp.exe
C:\WINDOWS\lsass.exe
         

Diese Dateien bei VirusTotal hochladen und komplettes Ergebnis hier posten:

Link: VirusTotal - Free Online Virus and Malware Scan

Es gibt da noch mehr, aber die fallen sofort ins Auge.

Nachtrag:

Wie hast Du es denn nun geschafft, das Logfile zu posten, ich denke, das ging vorher nicht?

Kannst du mir bitte erklären wie ich diese beiden Dateien dort hochlade? Ich bin wirklich ein ziemlicher PC-Noob ,und meinste mit komplettes ergebnis hier posten , das ich es hier im topic posten soll oder auf VirusTotal?Und was meinste mit Logfile hier posten? Wenn ich die Frage richtig verstanden habe dann konnte ich das Logfile schon früher posten , jedoch wollte ich ja eben auf ne Stellungnahme von Domino bzgl. des Backup Ordners warten. Sollich diese Datein vllt per Strg+c in VirusTotal übertragen?

Klick auf die Schaltfläche "durchsuchen" navigiere zur Datei und lade sie hoch (auf "öffnen" klicken).

Und dann natürlich hier das Ergebnis posten.


Domino