|
Plagegeister aller Art und deren Bekämpfung: Trojaner trotz Win neuWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
02.05.2008, 18:30 | #1 |
| Trojaner trotz Win neu Hiho @ all =) Erstmal thx an Sunny für die schnelle Antwort Zu meinem Problem: Vor einigen Wochen hab ich auf meinem Rechner den Trojaner Spyware.known_bad_sites gefunden. Den Trojaner hab ich immer nur mit Spyware doctor gefunden. Mit ebend Spyware doctor konnte ich den Trojaner zwar löschen, aber nach ein paar Stunden / Tagen war er wieder da. Daraufhin habe ich weitere Anti Vir Progs geladen, um den Trojaner loszuwerden, aber nie hat eins den Trojaner gefunden. Unter anderem hatte ich Anti Vir, Sypware doctor, a-sqared, kaspersky i was , ad aware und spybot. ( alles Kostenlose Scanner) Nachdem der Trojaner ca 1 Woche "verschwunden" war, ( kein Scanner hat was gefunden bei mehrere Scanns am Tag und mehrere Full scanns in der Woche) war er wieder da, mit über 1100 infizierten Dateien. Daraufhin habe ich Windows neu aufgesetzt, und habe zusätzlich auch eine zweite Partition platt gemacht, weil ich auf D auch einen Trojaner gefunden hatte. Die 3te Partition hab ich behalten um einige Dateien auf das neue System zu Übernehmen. (Musik , einige eigene Dateien und schonmal runtergeladene Firewall (Zonealarm) + Anti Vir und anderes Zeugs) Naja auf jeden Fall hab ich 1 Tag nach dem dem neuen Aufsetzen von Win wieder den Trojaner gefunden.... Mitlerweile hab ich auch einen Dialer drauf, den ich nicht löschen kann -.- (Wird auch wieder nur von Spyware doctor gefunden...Anti Vir und a-squared finden nix) Jetzt die eigendliche Frage: Hab ich mir den Trojaner wieder eingefangen, oder hat der auf der Platte überlebt? Ich habe vor Win wieder neu zu machen , aber müsste vorher wissen WARUM der Trojaner wieder da war.... Ich hatte lange keine Probs aber seit dem ich vor einer Woche Win neu gemacht habe, schein alles irgendwie schlimmer geworden zu sein. (Dialer, unbekannte Programme die sich versuchen einzuloggen o_O ) Wie gesagt Firewall und Anti Vir Prog hab ich installeirt BEVOR ich das erste mal ins Netz gegangen bin... //edit: habe noch eine externe Platte, aber auf der sollte nix sein , denn auf meinem Notebook hatte ich bis jetzt - zum Glück - noch keine Probs - und Scanns haben auch nix ergeben So viel Text, hoffe die sinnvollen Infos sind nicht allzusehr versteckt und thx für eure Hilfe =) |
02.05.2008, 18:33 | #2 |
/// Malware-holic | Trojaner trotz Win neu hast schon mal an einen fehlalarm gedacht?
__________________wo werden die dateien gefunden? |
02.05.2008, 18:44 | #3 |
| Trojaner trotz Win neu Ja am Anfang schon. Aber dann habe ich ingame Frame Einbrüche bekommen- so jede min ca 5sec lang nur 5-1 frame - also wie beim Nachladen aber halt regelmäßig, und solche Probs hatte ich vorher nicht. Oder bei GW extrem hoher Ping, und das deutlichste, wenn der Rechner arbeitet wenn mandoch gar nix macht.
__________________Angezeigt wird der Trojaner immer unter temp Internet Files, also hätte das Prob ja mit dem Platt machen von C behoben sein müssen. Und bei dem Dialer - ja ständig werden irgendwelche Seiten aufgebaut -.-, und der wiederrum befindet sich in der Registry .... kp wie ich an den rankomme |
02.05.2008, 18:55 | #4 |
/// Malware-holic | Trojaner trotz Win neu könntest du mal einige der betroffenen dateien hochladen? http://www.virustotal.com/en/indexf.html zeige das ergebniss mit tabellenkopf und zusätzliche informationen. combofix laden und nach anleitung ausführen log posten: http://www.virustotal.com/en/indexf.html hijackthis laden in einen eigenen ordner instalieren öffnen scan and safe log klicken und nach durchlauf von combofix posten: www.zdnet.de/downloads/prg/n/m/deGNNM-wc.html |
02.05.2008, 19:23 | #5 |
| Trojaner trotz Win neu Hier der HijackThis file: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:09:19, on 02.05.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16640) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\nvsvc32.exe C:\Programme\Spyware Doctor\pctsAuxs.exe C:\Programme\Spyware Doctor\pctsSvc.exe C:\WINDOWS\Explorer.EXE C:\Programme\Spyware Doctor\pctsTray.exe C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe C:\Programme\DNA\btdna.exe C:\WINDOWS\System32\alg.exe C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe D:\Programme\Xfire\xfire.exe D:\Programme\ICQ6\ICQ.exe D:\Programme\Teamspeak2_RC2\TeamSpeak.exe H:\Programme\BitTorrent\bittorrent.exe C:\Programme\a-squared Free\a2service.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Mozilla Firefox\firefox.exe c:\dokumente und einstellungen\thomas\lokale einstellungen\anwendungsdaten\hasjdn.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll O2 - BHO: ZoneAlarm Spy Blocker BHO - {F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O3 - Toolbar: ZoneAlarm Spy Blocker - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [PRISMSVR.EXE] "C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.EXE" /APPLY O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Programme\DNA\btdna.exe" O4 - HKCU\..\Run: [hasjdn] c:\dokumente und einstellungen\thomas\lokale einstellungen\anwendungsdaten\hasjdn.exe hasjdn O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: SpeedTouch 121g Wireless USB Monitor.lnk = C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6895 bytes Was mir auffällt ist diese hasjdn.exe , da ich kp hab wo ich die her hab und was die macht Wird mir aber als Benutzer Anwendung angezeigt, also kann ichs zumindest gefahrlos löschen |
02.05.2008, 19:29 | #6 |
/// Malware-holic | Trojaner trotz Win neu und der rest? |
02.05.2008, 19:34 | #7 |
| Trojaner trotz Win neu rest? fehlt was? was denn ... jo gefunden was fehlt ... jaja wer lesen kann ... |
02.05.2008, 19:40 | #8 |
/// Malware-holic | Trojaner trotz Win neu aber meinen beitrag hast du schon gelesen? |
02.05.2008, 20:03 | #9 |
/// Malware-holic | Trojaner trotz Win neu sorry hier der link zu combofix... http://virus-protect.org/artikel/tools/combofix.html |
02.05.2008, 20:12 | #10 |
| Trojaner trotz Win neu Jo thx hab schon gefunden =) combofix log: ComboFix 08-05-01.3 - Thomas 2008-05-02 20:53:58.1 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.1509 [GMT 2:00] ausgeführt von:: C:\Dokumente und Einstellungen\Thomas\Desktop\ComboFix.exe * Neuer Wiederherstellungspunkt wurde erstellt WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\hasjdn.dat C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\hasjdn.exe c:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\hasjdn_nav.dat c:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Anwendungsdaten\hasjdn_navps.dat C:\WINDOWS\system32\nvs2.inf . ((((((((((((((((((((((( Dateien erstellt von 2008-04-02 bis 2008-05-02 )))))))))))))))))))))))))))))) . 2008-05-02 20:09 . 2008-05-02 20:09 <DIR> d-------- C:\Programme\Trend Micro 2008-05-02 11:25 . 2004-08-03 23:01 25,856 --a------ C:\WINDOWS\system32\drivers\usbprint.sys 2008-05-02 11:25 . 2004-08-03 23:01 25,856 --a--c--- C:\WINDOWS\system32\dllcache\usbprint.sys 2008-04-29 15:52 . 2008-04-29 15:52 <DIR> d-------- C:\Programme\MSECache 2008-04-29 15:27 . 2008-04-29 15:27 <DIR> d-------- C:\Programme\Opera 2008-04-28 23:54 . 2008-04-28 23:54 <DIR> d-------- C:\Programme\DNA 2008-04-28 23:54 . 2008-05-02 20:49 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\DNA 2008-04-28 23:54 . 2008-05-02 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\BitTorrent 2008-04-27 16:40 . 2008-04-27 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\xing shared 2008-04-27 16:40 . 2008-04-27 16:40 <DIR> d-------- C:\Program Files 2008-04-27 16:40 . 2008-04-27 16:40 499,712 --a------ C:\WINDOWS\system32\msvcp71.dll 2008-04-27 16:40 . 2008-04-27 16:40 348,160 --a------ C:\WINDOWS\system32\msvcr71.dll 2008-04-26 17:18 . 2008-04-26 17:18 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\dvdcss 2008-04-26 15:19 . 2008-04-26 15:19 <DIR> d-------- C:\WINDOWS\ShellNew 2008-04-26 15:19 . 2008-04-26 15:19 400 --a------ C:\WINDOWS\ODBC.INI 2008-04-26 15:17 . 2008-04-26 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten\Xfire 2008-04-26 15:15 . 2008-04-27 16:36 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Winamp 2008-04-26 14:46 . 2008-05-01 19:18 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\ICQ 2008-04-26 14:31 . 2008-04-26 14:31 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Xfire 2008-04-26 14:29 . 2008-05-02 20:40 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Xfire 2008-04-26 14:22 . 2008-04-26 14:22 <DIR> d-------- C:\WINDOWS\system32\Lang 2008-04-26 14:22 . 2008-04-26 14:22 940,794 --a------ C:\WINDOWS\system32\LoopyMusic.wav 2008-04-26 14:22 . 2008-04-26 14:22 146,650 --a------ C:\WINDOWS\system32\BuzzingBee.wav 2008-04-26 14:22 . 2008-04-26 14:24 60,416 --a------ C:\WINDOWS\ALCFDRTM.VER 2008-04-26 14:22 . 2008-04-26 14:22 60,416 --a------ C:\WINDOWS\ALCFDRTM.EXE 2008-04-26 14:15 . 2008-04-26 14:15 34,064 --a------ C:\WINDOWS\system32\lhacm.acm 2008-04-26 14:11 . 2008-05-02 09:43 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\teamspeak2 2008-04-26 13:24 . 2008-04-26 13:24 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\vlc 2008-04-26 13:23 . 2008-04-26 13:23 <DIR> d-------- C:\Programme\VideoLAN 2008-04-26 13:01 . 2006-10-04 16:06 1,197,294 --a--c--- C:\WINDOWS\system32\dllcache\SETC9.tmp 2008-04-26 13:00 . 2008-04-26 13:00 <DIR> d-------- C:\Programme\Windows Media Connect 2 2008-04-26 12:59 . 2008-04-26 12:59 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2008-04-26 12:59 . 2008-04-26 13:00 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF 2008-04-26 12:51 . 2008-04-26 12:51 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\Talkback 2008-04-26 12:51 . 2008-04-26 12:51 0 --a------ C:\WINDOWS\nsreg.dat 2008-04-26 12:19 . 2008-04-26 12:19 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Adobe 2008-04-26 12:17 . 2008-04-26 12:17 <DIR> d-------- C:\Programme\Real 2008-04-26 12:17 . 2008-04-27 16:40 <DIR> d-------- C:\Programme\Gemeinsame Dateien\Real 2008-04-26 12:13 . 2008-05-02 09:55 <DIR> d-------- C:\Programme\Spyware Doctor 2008-04-26 12:13 . 2008-04-26 12:13 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten\PC Tools 2008-04-26 12:13 . 2008-05-02 20:49 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP 2008-04-26 12:13 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys 2008-04-26 12:13 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys 2008-04-26 12:13 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys 2008-04-26 12:13 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys 2008-04-26 12:11 . 2008-04-27 16:39 <DIR> d-------- C:\Programme\Google 2008-04-26 12:01 . 2006-09-25 17:58 23,856 --a------ C:\WINDOWS\system32\spupdsvc.exe 2008-04-26 12:00 . 2008-05-02 12:04 <DIR> d-------- C:\Programme\a-squared Free 2008-04-26 10:41 . 2004-08-04 01:40 57,600 --a------ C:\WINDOWS\system32\drivers\redbook.sys 2008-04-26 10:41 . 2004-08-04 01:37 23,552 --a------ C:\WINDOWS\system32\drivers\mouclass.sys 2008-04-26 10:41 . 2004-08-04 01:57 21,504 --a------ C:\WINDOWS\system32\hidserv.dll 2008-04-26 10:41 . 2001-08-18 05:22 12,288 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-04-26 10:39 . 2008-04-29 15:52 <DIR> d--hs---- C:\WINDOWS\Installer 2008-04-26 10:38 . 2008-05-02 11:25 <DIR> d-------- C:\WINDOWS\system32\CatRoot2 2008-04-26 10:38 . 2008-04-26 09:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Vorlagen 2008-04-26 10:38 . 2008-04-26 10:38 <DIR> dr------- C:\Dokumente und Einstellungen\Default User\Startmenü 2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Netzwerkumgebung 2008-04-26 10:38 . 2008-04-26 10:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Lokale Einstellungen 2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d-------- C:\Dokumente und Einstellungen\Default User\Favoriten 2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User\Druckumgebung 2008-04-26 10:38 . 2008-04-26 10:38 <DIR> dr-h----- C:\Dokumente und Einstellungen\Default User\Anwendungsdaten 2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\All Users\Vorlagen 2008-04-26 10:38 . 2008-04-26 15:19 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Startmenü 2008-04-26 10:38 . 2008-04-26 10:38 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Favoriten 2008-04-26 10:38 . 2008-04-26 13:04 <DIR> dr------- C:\Dokumente und Einstellungen\All Users\Dokumente 2008-04-26 10:38 . 2008-04-26 13:19 <DIR> dr-h----- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten 2008-04-26 10:37 . 2008-04-26 09:58 <DIR> d--h----- C:\Dokumente und Einstellungen\Default User 2008-04-26 10:37 . 2008-04-26 09:57 <DIR> d-------- C:\Dokumente und Einstellungen\All Users 2008-04-26 10:37 . 2008-04-26 10:02 <DIR> d-------- C:\Dokumente und Einstellungen 2008-04-26 10:28 . 2008-04-26 10:28 <DIR> d-------- C:\Programme\ASUS 2008-04-26 10:28 . 2005-01-28 10:44 24,576 -ra------ C:\WINDOWS\system32\AsIO.dll 2008-04-26 10:28 . 2004-09-07 11:41 5,120 --a------ C:\WINDOWS\system32\drivers\AsInsHelp64.sys 2008-04-26 10:28 . 2004-10-14 11:52 4,962 -ra------ C:\WINDOWS\system32\drivers\AsIO.sys 2008-04-26 10:28 . 2004-03-10 14:31 3,328 --a------ C:\WINDOWS\system32\drivers\AsInsHelp32.sys 2008-04-26 10:26 . 2008-04-26 11:51 <DIR> d-------- C:\WINDOWS\Downloaded Installations 2008-04-26 10:24 . 2004-11-13 05:35 810,054 -ra------ C:\WINDOWS\system32\A8N-SLI.bmp 2008-04-26 10:24 . 2004-11-13 06:01 269 -ra------ C:\WINDOWS\system32\raidmgmt.ini 2008-04-26 10:18 . 2008-04-26 10:18 <DIR> d-------- C:\Programme\Realtek Sound Manager 2008-04-26 10:18 . 2008-04-26 10:18 <DIR> d-------- C:\Programme\AvRack 2008-04-26 10:18 . 2005-04-19 04:40 2,317,504 --a------ C:\WINDOWS\system32\drivers\ALCXWDM.SYS 2008-04-26 10:18 . 2004-09-07 08:23 156,672 --a------ C:\WINDOWS\system32\RTLCPAPI.dll 2008-04-26 10:18 . 2005-04-15 05:01 77,824 --a------ C:\WINDOWS\SOUNDMAN.EXE 2008-04-26 10:18 . 2004-10-27 09:47 40,960 --------- C:\WINDOWS\system32\ChCfg.exe 2008-04-26 10:18 . 2001-07-05 18:19 164 --------- C:\WINDOWS\avrack.ini 2008-04-26 10:17 . 2008-04-26 14:47 <DIR> d--h----- C:\Programme\InstallShield Installation Information 2008-04-26 10:17 . 2008-04-26 10:26 <DIR> d-------- C:\Programme\Gemeinsame Dateien\InstallShield 2008-04-26 10:17 . 2005-04-18 13:57 18,706,432 --a------ C:\WINDOWS\system32\ALSNDMGR.CPL 2008-04-26 10:17 . 2005-04-18 14:31 9,324,032 --a------ C:\WINDOWS\system32\RTLCPL.EXE 2008-04-26 10:17 . 2005-02-03 09:13 294,912 --------- C:\WINDOWS\alcupd.exe 2008-04-26 10:17 . 2005-03-02 14:21 200,704 --------- C:\WINDOWS\alcrmv.exe 2008-04-26 10:17 . 2005-03-01 10:49 192,512 --------- C:\WINDOWS\RtlExUpd.dll 2008-04-26 10:17 . 2002-02-05 07:54 141,016 --a------ C:\WINDOWS\system32\ALSNDMGR.WAV 2008-04-26 10:17 . 2000-03-29 16:17 5,824 --a------ C:\WINDOWS\system32\drivers\ASUSHWIO.SYS 2008-04-26 10:17 . 2004-08-13 04:56 5,810 -ra------ C:\WINDOWS\system32\drivers\ASACPI.sys 2008-04-26 10:17 . 2008-04-26 10:27 5,280 --a------ C:\WINDOWS\Ascd_tmp.ini 2008-04-26 10:14 . 2008-04-26 10:14 2,422 --a------ C:\WINDOWS\system32\wpa.bak 2008-04-26 10:02 . 2008-04-26 09:55 <DIR> d--h----- C:\Dokumente und Einstellungen\Thomas\Vorlagen 2008-04-26 10:02 . 2008-04-26 10:38 <DIR> dr------- C:\Dokumente und Einstellungen\Thomas\Startmenü 2008-04-26 10:02 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Thomas\Netzwerkumgebung 2008-04-26 10:02 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen 2008-04-26 10:02 . 2008-04-26 12:44 <DIR> dr------- C:\Dokumente und Einstellungen\Thomas\Favoriten 2008-04-26 10:02 . 2008-04-29 17:27 <DIR> dr------- C:\Dokumente und Einstellungen\Thomas\Eigene Dateien 2008-04-26 10:02 . 2008-04-26 10:38 <DIR> d--h----- C:\Dokumente und Einstellungen\Thomas\Druckumgebung 2008-04-26 10:02 . 2008-04-29 15:27 <DIR> dr-h----- C:\Dokumente und Einstellungen\Thomas\Anwendungsdaten 2008-04-26 10:02 . 2008-05-02 20:48 <DIR> d-------- C:\Dokumente und Einstellungen\Thomas 2008-04-26 10:02 . 2008-05-02 20:54 307,200 --ah----- C:\Dokumente und Einstellungen\Thomas\ntuser.dat.LOG 2008-04-26 10:01 . 2008-04-26 10:01 <DIR> d---s---- C:\WINDOWS\system32\Microsoft 2008-04-26 10:01 . 2008-05-02 20:54 <DIR> d--h----- C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen 2008-04-26 10:01 . 2008-04-26 15:17 <DIR> d-------- C:\Dokumente und Einstellungen\NetworkService\Anwendungsdaten 2008-04-26 10:01 . 2008-04-26 10:01 <DIR> d--hs---- C:\Dokumente und Einstellungen\NetworkService 2008-04-26 10:01 . 2008-04-26 10:01 <DIR> d--h----- C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen 2008-04-26 10:01 . 2008-04-27 20:12 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten 2008-04-26 10:01 . 2008-04-26 10:01 <DIR> d--hs---- C:\Dokumente und Einstellungen\LocalService 2008-04-26 10:01 . 2008-04-26 10:01 8,192 --a------ C:\WINDOWS\REGLOCS.OLD 2008-04-26 10:01 . 2008-05-02 11:25 1,024 --ah----- C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG 2008-04-26 10:01 . 2008-05-02 11:25 1,024 --ah----- C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG 2008-04-26 10:00 . 2008-04-26 09:55 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Vorlagen 2008-04-26 10:00 . 2008-04-26 10:38 <DIR> dr------- C:\WINDOWS\system32\config\systemprofile\Startmenü 2008-04-26 10:00 . 2008-04-26 10:38 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Netzwerkumgebung 2008-04-26 10:00 . 2008-05-02 20:54 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen 2008-04-26 10:00 . 2008-04-26 10:38 <DIR> d-------- C:\WINDOWS\system32\config\systemprofile\Favoriten 2008-04-26 10:00 . 2008-04-26 10:38 <DIR> d--h----- C:\WINDOWS\system32\config\systemprofile\Druckumgebung 2008-04-26 10:00 . 2008-04-26 10:38 <DIR> dr-h----- C:\WINDOWS\system32\config\systemprofile\Anwendungsdaten 2008-04-23 00:29 . 2008-04-23 00:29 41,296 --a------ C:\WINDOWS\system32\xfcodec.dll 3 Datei(en) . 2,404,542 C:\ComboFix\Bytes . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-05-02 18:54 6,555,680 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat 2008-05-02 07:37 76,964 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx 2008-04-26 09:52 15,781 ----a-w C:\WINDOWS\system32\drivers\mdc8021x.sys 2008-04-26 09:52 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Prism 2008-04-26 09:51 --------- d-----w C:\Programme\Thomson SpeedTouch 2008-04-26 09:44 --------- d-----w C:\Programme\ZoneAlarmSB 2008-04-26 09:43 --------- d-----w C:\Programme\Zone Labs 2008-04-26 09:43 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\MailFrontier 2008-04-26 09:41 --------- d-----w C:\Programme\Avira 2008-04-26 09:41 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Avira 2008-04-26 07:58 --------- d-----w C:\Programme\microsoft frontpage 2008-04-26 07:57 --------- d-----w C:\Programme\Online-Dienste 2008-04-26 07:56 --------- d-----w C:\Programme\Gemeinsame Dateien\Dienste 2008-04-02 19:07 75,248 ----a-w C:\WINDOWS\zllsputility.exe 2008-04-02 19:07 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll 2008-03-20 08:03 1,845,376 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-01 12:54 826,368 ----a-w C:\WINDOWS\system32\wininet.dll 2008-02-20 06:50 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 05:33 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll . (((((((((((((((((((((((((((( Autostart Punkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . REGEDIT4 *Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt. [HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}] 2008-04-26 11:44 262144 --a------ C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar] "{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}"= "C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL" [2008-04-26 11:44 262144] [HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}] [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser] "{F0D4B239-DA4B-4DAF-81E4-DFEE4931A4AA}"= C:\Programme\ZoneAlarmSB\bar\1.bin\SPYBLOCK.DLL [2008-04-26 11:44 262144] [HKEY_CLASSES_ROOT\clsid\{f0d4b239-da4b-4daf-81e4-dfee4931a4aa}] [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2006-02-28 14:00 15360] "swg"="C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-04-30 12:46 68856] "BitTorrent DNA"="C:\Programme\DNA\btdna.exe" [2008-04-28 23:54 288576] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SoundMan"="SOUNDMAN.EXE" [2005-04-15 05:01 77824 C:\WINDOWS\SOUNDMAN.EXE] "NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-12-05 01:41 8523776] "nwiz"="nwiz.exe" [2007-12-05 01:41 1626112 C:\WINDOWS\system32\nwiz.exe] "NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-12-05 01:41 81920] "avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-02-12 10:06 262401] "ZoneAlarm Client"="C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" [2008-04-02 21:07 919016] "PRISMSVR.EXE"="C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\PRISMSVR.exe" [2004-07-02 16:27 295001] "Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792] "WinampAgent"="D:\Programme\Winamp\winampa.exe" [2008-04-01 20:49 36352] "TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-27 16:40 185896] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2006-02-28 14:00 15360] C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\ Microsoft Office.lnk - D:\Programme\Microsoft Office\Office10\OSA.EXE [2001-02-13 01:01:04 83360] SpeedTouch 121g Wireless USB Monitor.lnk - C:\Programme\Thomson SpeedTouch\SpeedTouch 121g Wireless USB Monitor\st121g.exe [2004-09-23 18:36:28 303104] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "VIDC.XFR1"= xfcodec.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "D:\\Programme\\ICQ6\\ICQ.exe"= "C:\\Programme\\DNA\\btdna.exe"= "H:\\Programme\\BitTorrent\\bittorrent.exe"= R3 BT4501G;SpeedTouch 121g Wireless USB Adapter Driver;C:\WINDOWS\system32\DRIVERS\BT4501G.sys [2005-11-16 12:21] *Newly Created Service* - CATCHME . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-05-02 20:54:49 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostart Einträge... Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** . Zeit der Fertigstellung: 2008-05-02 20:56:53 ComboFix-quarantined-files.txt 2008-05-02 18:56:51 7 Verzeichnis(se), 9,233,694,720 Bytes frei 9 Verzeichnis(se), 9,279,315,968 Bytes frei 227 --- E O F --- 2008-04-27 14:22:05 ist es eigendlich egal in welcher Reihenfolge ich die progs ausführe? hab ja kp was die machen ^.^" (nur scannen? löschen?) |
02.05.2008, 20:17 | #11 |
/// Malware-holic | Trojaner trotz Win neu sorry ncoh mal für falschen link ;-) Bitte lade Dir Navilog1 von IL-MAFIOSO herunter.
Hinweis: Navilog1.exe und andere Dateien, werden aehnlich wie process.exe, von einigen Antiviren Herstellern / Firewall Herstellern als sogenannte Risktools erkannt. Es ist kein Virus, sondern ein Programm zur Reinigung dieser Infizierung.[noparse] |
02.05.2008, 20:59 | #12 |
| Trojaner trotz Win neu So hier der log von Navilog1: Search Navipromo version 3.5.5 began on 02.05.2008 at 21:55:57,28 !!! Warning, this report may include legitimate files/programs !!! !!! Post this report on the forum you are being helped !!! !!! Don't continue with removal unless instructed by an authorized helper !!! Fix running from C:\Programme\navilog1 Actual User Account : "Thomas" Updated on 29.04.2008 at 20h00 by IL-MAFIOSO Microsoft Windows XP [Version 5.1.2600] Version Internet Explorer : 7.0.5730.13 Filesystem type : NTFS Done in normal mode *** Search folders in "C:\WINDOWS" *** *** Search folders in "C:\Programme" *** *** Search folders in "c:\dokume~1\alluse~1\anwend~1" *** *** Search folders in "c:\dokume~1\alluse~1\startm~1\progra~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Thomas\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Thomas\lokale~1\anwend~1" *** *** Search folders in "C:\Dokumente und Einstellungen\Thomas\startm~1\progra~1" *** *** Search with Catchme-rootkit/stealth malware detector by gmer *** for more info : http://www.gmer.net No file found *** Search with GenericNaviSearch *** !!! Possibility of legitimate files in the result !!! !!! Must always be checked before manually deleting !!! * Scan in "C:\WINDOWS\system32" * * Scan in "C:\Dokumente und Einstellungen\Thomas\lokale~1\anwend~1" * *** Search files *** C:\WINDOWS\prefetch\WEBMEDIAPLAYER.EXE-0217F201.pf found ! *** Search specific Registry keys *** *** Complementary Search *** (Search specific files) 1)Search new Instant Access files : 2)Heuristic Search : * In "C:\WINDOWS\system32" : * In "C:\Dokumente und Einstellungen\Thomas\lokale~1\anwend~1" : 3)Certificates Search : Egroup certificate not found ! Electronic-Group certificate found ! OOO-Favorit certificate found ! Sunny-Day-Design-Ltd certificate not found ! 4)Search known files : *** Search completed on 02.05.2008 at 21:57:11,82 *** |
02.05.2008, 21:04 | #13 |
/// Malware-holic | Trojaner trotz Win neu na da haben wirs doch... verzichte auf webmediaplayer! bitte laufen lassen mit option 2 |
02.05.2008, 21:16 | #14 |
| Trojaner trotz Win neu den hab ich gar nicht mehr o_O den hatte ich nur einen Tag drauf. Hab ihn von nem Kumpel geschickt bekommen, aber da nicht gebraucht auch wieder runtergeschmissen ... |
02.05.2008, 21:20 | #15 |
/// Malware-holic | Trojaner trotz Win neu ja das war ausreichend... geb deinem freund mal den hinweis, dass er entweder den player selbst instaliert hat und damit einen virus oder das er es unterlassen soll dir malware zu senden. bitte jetzt mit option 2 laufen lassen,log posten. mache danach das: * Lade Malwarebytes' Anti-Malware auf deinen Desktop herunter. www.malwarebytes.org/mbam.php - 10k - * Mache einen Doppel-Klick auf die mbam-setup.exe und folge den Hinweisen, um das Programm zu installieren. * Vergewissere dich nun, dass folgende Optionen angehakt sind: o Malwarebytes' Anti-Malware updaten o Malwarebytes' Anti-Malware starten * Klicke nun auf Fertigstellen. * Wenn ein Update gefunden wird, wird es heruntergeladen und die neueste Version installieren. * Wenn das Programm fertig geladen ist, wähle kompletScan durchführen, klicke auf Scan. * Wenn der Scan beendet ist, klicke auf OK, dann auf Ergebnisse anzeigen. * Vergewissere dich, dass neben allen Malware-Einträgen ein Häkchen sitzt. * Klicke dann auf 'Ausgewähltes entfernen' und auf OK. funde löschen und log posten. |
Themen zu Trojaner trotz Win neu |
ad aware, anti, aufsetzen, dialer, erste mal, externe platte, firewall, frage, infizierte, kaspersky, löschen, mehrere, musik, neu, neu aufgesetzt, neue, nicht löschen, notebook, problem, programme, rechner, scan, sites, spyware doctor, system, trojaner, verschwunden, warum, win, windows |