Liebe Helfer des Boards,
meinen Computer hat es vor ein paar Tagen auch mal erwischt.
Ich war viel zu unsicher beim surfen , bin auf nicht oft besuchene Seiten gegangen , habe aus "fremden" Quellen gedownloadet...
Und das reicht auch schon , um sich ein paar Trojaner zu fangen
Eigentlich war es ja meine Schuld. Die Windows Firewall war natürlich nicht an.
War mit einem Router online der 2 Computer mit DSL 2000 versorgt:aplaus:
So genau weiß ich nicht wie der Router heißt , er ist auf jeden Fall von T-Mobile und fängt mit Speedport an...auf jeden Fall kommt ein "W" und eine 700 oder 701 drin vor
Informationen zu meinen PC:
Windows XP Professional mit Service Pack 2 (also nicht Service Pack 3 Beta , der vertraue ich nämlich noch nicht. Den Beta ist halt keine abgeschlossene Sache)
Mehr weiß Ich noch nicht , muss mal mit Papa telefonieren
Informationen zum Befall
Mein schönes Programm Anti Vir Personal Edition (also die Freeware Version , gedownloadet auf des Herstellers Seite ) zeigte Mir ein paar schöne Sachen an:
-TR/Dropper.Gen
_und einen dessen Namen ich nicht behalten konnte , den er war zum Glück erst in temporären Dateien des Internets oder so gewesen..nach löschen und zweiter Systemprüfung fand AntiVir nichts mehr :aplaus:
-Nun ja , noch mal zum Dropper.Gen: Ich musste Ihn zweimal löschen!
Antivir hatte Ihn einmal direkt nach dem einfangen erwischt (Hoffe Ich mal) und dann nochmal in den WINDOWS-Dateien !
Mein Verhalten:
Mit AntiVir die "bösen" Dateien gelöscht ; die sicheren Kopien in der Quarantäne habe ich leider nicht mehr
Hab die Ausversehen gelöscht

Aufgeräumt mit: cCleaner ; Spybot-Search & Destroy ; RegCleaner &' natürlcih noch mal AntiVir laufen lassen.

RegCleaner hat tasächlich noch 3 Keylogger gefunden !!!
Die Dateien sind jetzt erst mal weg , mein System ist wie es normal sein sollte.
Die bösen Programme habe ich sofort gelöscht und nicht mals ausgeführt !!!

Könntet Ihr trotzdem zur Sicherheit HiJackThis-Log überprüfen ?
Ich hab einfach Angst das Reste von den Trojanern noch drauf sind
Danke
Usagi


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:02:22, on 18.02.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe
C:\Programme\Corel\Corel Photo Album 6\MediaDetect.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Google\Google Updater\GoogleUpdater.exe
C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\TEMP\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programme\Gemeinsame Dateien\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Programme\Corel\Corel Photo Album 6\MediaDetect.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: T-DSL Manager.lnk = ?
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: MSI US54SE 802.11b+g USB Stick Utility.lnk = C:\Programme\MSI\US54SE_Utility\ZDWlan.exe
O4 - Global Startup: OnlineControl.lnk = C:\Programme\OnlineControl\ocontrol.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase370.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1202571096328
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O16 - DPF: {E8F628B5-259A-4734-97EE-BA914D7BE941} (Driver Agent ActiveX Control) - http://driveragent.com/files/driveragent.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C40D063C-AA1B-468F-9307-B5D7B9F91028}: NameServer = 192.168.2.1
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~3\GOEC62~1.DLL
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GoogleDesktopManager - Google - C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Hotspot Manager (HotSpotFSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\T-COM\HotspotMgr\HotSpotFSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe

--
End of file - 6951 bytes

Hallo Usagi.

Vorbildliche Problembeschriebung. Danke!

Dein HJT log ist sauber- was nicht unbedingt was heißen will.

Ich würde mal folgendes machen:

Upadte AntiVir und konfiguriere es aggressiv.
Wechsel danach in den abgesicherten Modus und mache dort einen Vollscan.


Abgesicherter Modus (alle Windows Versionen)

So wird der abgesicherte Modus am einfachsten aufgerufen -> KLICK MICH

Hallo!
Danke erstmal für deine schnelle Antwort.
So hab AntiVir erst ein mal auf "agressiv" gestellt.
Den Link für den abgesicherten Modus von Dir brachte mich zu einer Liste von Viren des Jahrgangs 1999-2001.
Ich versuch es mal allein.
Wie wär's mit F8 beim Booten ?

F8 beim Booten ist genauso gut.

Allerdings ist das

Zitat:

Den Link für den abgesicherten Modus von Dir brachte mich zu einer Liste von Viren des Jahrgangs 1999-2001.

sehr Besorgnis erregend.

Update bitte deinen Internet-Explorer auf Version7. Auch wenn du ihn nicht nutzt..

Dann schalte bitte den Spybot TeaTimer ab.

Spybot öffnen->Modus->Experten Modus->Tools->Resident->Haken beim TeaTimer wegnehmen.

Erstelle bitte nachdem du alle vorherigen Schritte durchgeführt hast ein neues HijackThis log. Lösche allerdings vorher HJT komplett von der Platte und downloade es nach dieser Anleitung neu. Befolge sie bitte ganz genau! Das Umbennen ist wichtig!

Erstellung eines Hijacklog

-Hier gibt es das Tool -> HijackThis
-Speichere es in einem eigenen Ordner! (z.B.: c:\Hijackthis\)
-Suche die Datei HiJackThis.exe und benenne sie um in 'This.com'
(Klick rechte Maustaste -> umbenennen)
-Starte nun mit Doppelklick auf This.com
-Klicke auf den rot markierten Button Do a system scan and save a log file
-Nach dem Scan öffnet sich ein Editor Fenster, kopiere nun dieses Logfile ab und füge es in deinen Beitrag im Forum mit ein)
- Wichtig: Durchsuche das Log-File nach persönlichen Informationen, wie z.B. deinen Realname, und editiere diese, bevor Du es postest.
- Alle Links im Log-File sollten wie folgt editiert werden -> z.B. h**p://meine-seite.de. Einfach, damit niemand auf die Idee kommt, auf die Links zu klicken.

Update bitte deinen Internet-Explorer auf Version7. Auch wenn du ihn nicht nutzt..
Ich habe Internet Explorer 7 eigentlich schon drauf gemacht

Dann schalte bitte den Spybot TeaTimer ab.
Erledige Ich sorfort...
Erstelle bitte nachdem du alle vorherigen Schritte durchgeführt hast ein neues HijackThis log. Lösche allerdings vorher HJT komplett von der Platte und downloade es nach dieser Anleitung neu. Befolge sie bitte ganz genau! Das Umbennen ist wichtig!

Emm , o.K. Befolge die Anleitung...

Gute Nachricht: Im abgesicherten Modus hat AntiVir nichts gefunden, RegCleaner auch nicht !

Usagi

TeaTimer
....wurde von Mir abgeschaltet.

HiJackThis-Logfile
...bin noch nicht soweit

Bin mal grade in die Systemsteurung gegangen und entdecke Microsoft Visual C++ 2005 Redistributable
...Installiert habe Ich das nicht !!!!

Das mit den Unbennen klappt nicht..
Wenn Ich das Programm runterlade und dann auf öffnen klicke beginnt das Programm direkt.Wenn Ich dann auf die Option " Ordner" klicke und Mir den Inhalt anschaue sehe Ich auch nur die Verknüpfung zum Programm. Ich hab mal versucht die Verknüpfung umzubenennen , alls ich fertig geschrieben hatte erkannte AntiVir die unbenannte Datei als gefährlich. Vielleicht wegen der Umbennenung...Ich musste das LogFile auf normale Art machen

Logfile of Trend Micro HijackThis v2.0.2

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Also. Nochmal ganz in Ruhe.

a) Du hast nicht die aktuelle Version7 des IE auf dem Rechner! Update bitte!
Downloaddetails: Windows Internet Explorer 7 für Windows XP SP2

b) Erstelle einen Ordner der HijackThis heisst. Rechtsklick auf den Desktop->neu->Ordner.
In den Ordner lädst du die Hijackthis.exe herunter.
Umbennen tust du die Datei indem du die Hijackthis.exe mit rechts anklickst und dann umbennen auswählst. Nenne sie zum Beispiel ScanHJT.com
Sollte AntiVir meckern dann wähle halt überspringen bzw. nicht beachten oder so aus..

Poste dann ein frisches logFile.

Entschuldigung wenn Ich etwas zu voreilig war. Tut Mir Leid.
Also gut , noch mal ganz in Ruhe.
Dinge die ich bis jetzt nach Anweisung ausgeführt habe:
-Über F8 beim Booten in den abgesicherten Modus gegangen ; AntiVir laufen lassen (nichts gefunden) , RegCleaner laufen lassen (nichts gefunden).
-Internet Explorer 7 mit den angegebenen Link noch mal gedownloadet , hat sehr lange bei den Updates gebraucht...also 2 Minuten Updates sind schon lange und AntiVir hängt auch shcon 20 Minuten am täglichen Update
Gut anhören tut sich das nicht. Die CPU liegt bei 100 % Auslastung , aber das liegt warscheinlich an meinen Konverter für Videos.(Beispiel: Das Programm verwandelt RM-Dateien in AVI-Dateien). Wenn der Konverter aus ist , singt die CPU auch wieder auf 7 % und schwankt manchmal ein bisschen. Da hat mein Papa aber gesagt das es normal sei das die CPU was schwankt.
Sehr komisch: Obwohl die CPU wieder unten ist holt Internet Explorer immer noch Updates , schon 5 Minuten.
Ich glaube Ich habe es geschafft , das Log hat 49 Zeichen (immerhin) mehr.Könnte ein schöner Eintrag sein
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:08:36, on 19.02.2008

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Hallo Usagi.

Du hast immernoch nicht die aktuelle Version des IE auf dem Rechner...

Den Video Konverter solltest du natürlich nicht benutzten wenn dein Rechner grade viel zu tun hat!!!
Während der Installation des IE sollten der Rechner niocht anderwertig benutzt werden und der AntiVir-Guard am besten deaktiviert werden.
Außerdem shee ich grade dass das Update ja noch läuft....

Jetzt mach halt mal eines nach dem Anderen in aller Ruhe..

Als erstes: Update den IE ! Und mach bis er fertig ist nichts anderes!!!

Als Zweites: Bennee die C:\Dokumente und Einstellungen\TEMP\Desktop\HiJackThis\This.exe.exe um in C:\Dokumente und Einstellungen\TEMP\Desktop\HiJackThis\This.com

Als letztes: Erstelle ein neues logfile.

Hallo ! Hat sich gestern erledigt. Mein Papa schenckt mir einen neuen PC
Ich verspreche euch und meinen Vater hoch und heilig nur noch auf "bekannte" Seiten zu gehen
Thema bitte schließen oder direkt in den Mülleiner.
Der andere PC landet auf dem Müllplatz.

Danke noch mal für alles,
Usagi.