Trojanerverdacht bei expolrer!

ard i70 · 06.03.2008, 14:34

Hallo, kann jemand mir helfen, mein explorer in xp startet nicht mehr und ich weiss überhaupt nicht wie ich dann das programm Hijackthis.exe darauf bringen soll (auch abgesicherte Modus funktioniert nicht).

danke im voraus

ardi

naju · 06.03.2008, 16:17

wenn du nich ins internet kannst würd ich firefox oder opera oder so von nem anderen pc auf deinen tun per usb-stick oder so oder hab ich das falsch verstanden und HijackThis klappt nur nich?

ard i70 · 06.03.2008, 18:00

nein, bei mein rechner funktioniert jetzt nicht einmal Windows-explorer (Internetexplorer oder opera.. sowieso nicht). ich kann so nichts darauf instalieren und ich kann windows auch nicht in abgesicherte Modus starten

ard i70 · 06.03.2008, 18:10

so, jetzt habe ich irgend wie geschaft ins windows rein zu kommen und HijackThis auszuführen. so wohin kann ich jetzt den Protokoldatei schicken, damit mir jemand helfen kann.

ard i70 · 06.03.2008, 18:12

der Protokoldatei sieht wie folgt aus:

Logfile of HijackThis v1.99.1
Scan saved at 18:06:19, on 06.03.2008
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\windows\System32\smss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\spoolsv.exe
C:\WINDOWS\System32\gearsec.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\windows\System32\mgabg.exe
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\Explorer.exe
C:\windows\Fonts\RUNDLL32.exe
C:\WINDOWS\System32\mqsvc.exe
C:\windows\System32\WgaTray.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\windows\lsass.exe
C:\Programme\Messenger\msmsgs.exe
D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
D:\Programme\Yahoo!\Messenger\ymsgr_tray.exe
C:\Programme\1&1 Internet\VirtuDrive\VIRTUDRV.EXE
C:\windows\Explorer.exe
D:\Programme\wincmd\WINCMD32.EXE
C:\WINDOWS\System32\dllhost.exe
C:\windows\System32\inetsrv\DavCData.exe
C:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://rd.yahoo.com/customize/ymsgr/defaults/sb/*http://www.yahoo.com/ext/search/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {EA790391-BB79-B9A0-79E4-C49EF034009A} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\windows\lsass.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32.exe C:\windows\System32\winsys16_070409.dll start
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
O2 - BHO: (no name) - {B1F51343-8FAC-4DA6-A440-4B2C696F9FCA} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [System] C:\windows\System32\explorer.exe
O4 - HKLM\..\Run: [SystemIDL] C:\windows\System32\SVCHOTS.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "D:\Programme\Yahoo!\Messenger\ypager.exe" -quiet
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [System] C:\windows\System32\explorer.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "D:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://d:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\windows\System32\shdocvw.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - d:\Programme\Microsoft ActiveSync\INetRepl.dll
O9 - Extra button: RealGuide - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .dgn: C:\Programme\Internet Explorer\PLUGINS\NP_AM4.DLL
O12 - Plugin for .plt: C:\Programme\Internet Explorer\PLUGINS\NP_AM4.DLL
O12 - Plugin for .tif: C:\Programme\Internet Explorer\PLUGINS\NP_AM4.DLL
O15 - Trusted Zone: http://www.netzwelt.de
O16 - DPF: {09F1ADAC-76D8-4D0F-99A5-5C907DADB988} - http://cdn.drivecleaner.com/installdrivecleanerstart_de.cab
O16 - DPF: {6B75345B-AA36-438A-BBE6-4078B4C6984D} (HpProductDetection Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1178188617483
O16 - DPF: {BE964208-66F0-48FB-8F53-0C2BC35A610A} (UMediaPlayer Class) - http://www.kanoontowhid.org/UMediaControl.cab
O16 - DPF: {EF99BD32-C1FB-11D2-892F-0090271D4F88} - http://us.dl1.yimg.com/download.yahoo.com/dl/toolbar/ym/yiebio5_0_2_7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{562A3092-F9BE-4FBF-8676-8B9297C47744}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{6D8BC5F9-B907-4718-A442-0B8929CC4E78}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{562A3092-F9BE-4FBF-8676-8B9297C47744}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{562A3092-F9BE-4FBF-8676-8B9297C47744}: NameServer = 192.168.0.1
O20 - AppInit_DLLs: C:\PROGRA~1\Google\GOOGLE~1\GOEC62~1.DLL
O20 - Winlogon Notify: cnds - C:\windows\system\cnds.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\windows\SYSTEM32\WgaLogon.dll
O23 - Service: Gear Security Service (GEARSecurity) - GEAR Software - C:\WINDOWS\System32\gearsec.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: MGABGEXE - Matrox Graphics Inc. - C:\windows\System32\mgabg.exe
O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\windows\System32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\windows\System32\TuneUpDefragService.exe

Franz1968 · 06.03.2008, 18:12

Task-Manager starten -> Registerkarte "Anwendungen" -> Schaltfläche "Neuer Task" -> "c:\windows\explorer.exe eintippen" (ohne die "") -> OK drücken

ard i70 · 06.03.2008, 18:35

ja ok, danke, soweit bin ich jetzt, aber was kann ich jetzt mit diesen Protokoldatei und den Trojaner machen?

myrtille · 06.03.2008, 18:45

Also die einzig sinnvolle Lösung ist, dass du deine Daten (Texte, Bilder, Musik...) irgendwo sicherst.
Deine Festplatten formatierst und dann Windows neuaufspielst. (Anleitung zb hier) Wichtig wäre dann, dass du auch die Service Packs installierst! Diese könnten verhindern, dass du dir alles mögliche im Internet einfängst.

In jeder Software sind Sicherheitslücken, Möglichkeiten, wie jemand ohne dein zutun auf deinen Rechner gelangen kann. Sobald diese Lücken bekannt werden, versuchen die Leute von der Software diese zu schließen, das ist meist eine Sache von Tagen, dann wird ein Update angeboten, dass die Lücke schließt.
Wenn du dann allerdings dieses Updates nicht installierst, dann bleibt die Lücke bei dir erhalten und je älter die Lücke ist desto mehr Viren versuchen über diese Lücke auf deinen Rechner zu gelangen.
Du hast ein System, dass seit über 4 Jahren nicht aktualisiert worden ist: Das sind wahrscheinlich 100.000 offene Türen für Viren! Dagegen kann sich kein System erfolgreich wehren.

In deinem Log befinden sich mehr schädliche Einträge, als ich im letzten dreiviertel Jahre auf einem Haufen gesehen habe:

Zitat:

R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
R3 - URLSearchHook: (no name) - {EA790391-BB79-B9A0-79E4-C49EF034009A} - (no file)
F2 - REG:system.ini: Shell=Explorer.exe C:\windows\lsass.exe
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,rundll32 .exe C:\windows\System32\winsys16_070409.dll start
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O2 - BHO: (no name) - {B1F51343-8FAC-4DA6-A440-4B2C696F9FCA} - (no file)
O2 - BHO: (no name) - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - (no file)
O3 - Toolbar: (no name) - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - (no file)
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} -
O4 - HKLM\..\Run: [System] C:\windows\System32\explorer.exe
O4 - HKLM\..\Run: [SystemIDL] C:\windows\System32\SVCHOTS.exe
O4 - HKCU\..\Run: [System] C:\windows\System32\explorer.exe
O20 - Winlogon Notify: cnds - C:\windows\system\cnds.dll (file missing)

ard i70 · 06.03.2008, 18:51

ich muss mich dann auf eine lange Installationsabend gefasst machen, da ich zu viele Programme neuinstallieren musss, danke für den Tipps

06.03.2008, 18:12	#6
Franz1968 /// Helfer-Team	Trojanerverdacht bei expolrer! Task-Manager starten -> Registerkarte "Anwendungen" -> Schaltfläche "Neuer Task" -> "c:\windows\explorer.exe eintippen" (ohne die "") -> OK drücken __________________ --> Trojanerverdacht bei expolrer!

Trojanerverdacht bei expolrer!

Log-Analyse und Auswertung: Trojanerverdacht bei expolrer!