trojaner hat sich in meinem symstem breitgemacht!

hellsy · 17.07.2008, 11:14

hallo zusammen,

gestern nacht hat mein viruscanner folgende nachricht nach dem virenscann ausgespuckt:

gefunden: potentiell gefährliche Software Trojan.generic Prozess: C:\Dokumente und Einstellungen\gui\Lokale Einstellungen\Temp\is-BNEIL.tmp\is-C9F6O.tmp
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Windows\Sys61.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Windows\Sys62.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Windows\Sys64.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\WINDOWS\Sys1.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\WINDOWS\Sys2.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\WINDOWS\Sys4.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218598.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218599.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218600.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP213\A0218618.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Programme\PCHealthCenter\1.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Programme\PCHealthCenter\2.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\Programme\PCHealthCenter\4.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218733.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218734.exe
nach Quarantäne verschoben: Virus Heur.Trojan.Generic (Modifikation) Datei: C:\System Volume Information\_restore{D0D98B65-E32F-499F-BE85-54ADA9B92236}\RP214\A0218735.exe

Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Windows\Sys62.exe 31 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Windows\Sys61.exe 31,5 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\WINDOWS\Sys2.exe 31 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\WINDOWS\Sys1.exe 31,5 KB
Verdächtig: Virus Heur.Trojan.Generic (Modifikation) C:\Windows\Sys64.exe 30 KB

hier noch ein hijackscan:

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Windows Live\Messenger\msnmsgr.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Windows Live\Messenger\usnsvc.exe
C:\Dokumente und Einstellungen\gui\Desktop\HiJackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = xxx.go.microsoft.com/fwlxxink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = xxx://go.microsoft.com/fwlixxxnk/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = xxxgo.microsoft.com/fwxlink/?xxx
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = xxxgo.microsxxxoft.com/fwlink/?LinxxkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = xxx://go.mixxcrosoft.com/fwlink/?LinkId=xxxR0 - HKLM\Software\Microsoft\Internxxet Explorer\Main,Start Page = gxxxo.microsoft.com/fwlink/?LinkId=69157[/url]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,First Home Page = xxxgo.microsoft.com/fwlixxxnk/?LinxkId=54843
O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: QXK Olive - {4561EA3D-3CF2-4630-960F-EB36F485A198} - C:\WINDOWS\kgxmotapdkx.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [C-Media Speaker Configuration] G:\Xp-2K-Me\drv\Setup.exe /SPEAKER
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [OutpostMonitor] C:\PROGRA~1\Agnitum\OUTPOS~2\op_mon.exe /tray /noservice
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Outpost Firewall Pro Quick Tune - {44627E97-789B-40d4-B5C2-58BD171129A1} - C:\Programme\Agnitum\Outpost Firewall Pro\ie_bar.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - O17 - HKLM\System\CCS\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{0362EFAC-E404-453B-BCDD-82BED459433B}: NameServer = 217.237.150.115 217.237.151.205
O20 - AppInit_DLLs: c:\progra~1\agnitum\outpos~2\wl_hook.dll c:\progra~1\kasper~1\kasper~1.0\adialhk.dll
O21 - SSODL: evgratsm - {15A6826C-9637-4EFA-8BA9-CF4094562F3D} - C:\WINDOWS\evgratsm.dll
O23 - Service: Agnitum Client Security Service (acssrv) - Agnitum Ltd. - C:\PROGRA~1\Agnitum\OUTPOS~2\acs.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WIND

kann firefox nicht mehr öffnen und einge kartreiter im startmenü sind komplett verschwunden.

ich hoffe ihr könnt mir weiterhelfen.

vielen dank im vorraus!!!!!

undoreal · 17.07.2008, 11:28

Hallo hellsy.

Der Kopf des HijackThis logs fehlt. Reiche ihn bitte nach.
Einigen Angaben benötigen wir ebenfalls: Welches Betriebssystem nutzt du?
Welche Änderungen hast du vor dem Befall an deinem Rechner vorgenommen?
Welchen Virenscanner benutzt du überhaupt? Also woher kommt das log von gestern Nacht? Beachte also bitte unsere Regln Nummer 5!

trojaner hat sich in meinem symstem breitgemacht!

Mülltonne: trojaner hat sich in meinem symstem breitgemacht!

trojaner hat sich in meinem symstem breitgemacht!

trojaner hat sich in meinem symstem breitgemacht!

Ähnliche Themen: trojaner hat sich in meinem symstem breitgemacht!