Schönen guten Abend liebes Expertenteam,

vorab möchte ich euch gerne ein grosses Kompliment aussprechen und für Informationen und Hilfe danken. Leider habe ich mir beim Downloaden 2er Files, Trojaner aufs Notebook geladen und kam mit meiner üblichen Antivirus-Software nicht mehr zurecht. Auf Tip eines Freundes habe ich dann eure Seite besucht, weil ich nicht mehr weiter wusste. Nach einigen Beiträgen die ich mir durchgelesen habe, wendete ich die hier oft genannte "SUPERAntispyware" mit Erfolg an.

Das Resultat des ersten Vorgangs :

Threat Description Detected Items

Adware Tracking Cookie 81

Detected Item Description and Information

Listed below is basic information about the detected application/process. This application may not be safe to have on your system.
Summary : Adware.Tracking Cookie

Company : Unknown/Varies

Description : Tracking cookies are used by many types of sites to determine where you may have surfed, which pages you visited, and what ads you may have been shown.

Cookies are also used to remember logins on certain webpages such as Google, Yahoo and MSN. Cookies can also be used to save user preferences and options so the site can identify you the next time you visit and customize the site to your personal configuration. You may wish to trust those cookies detected by SUPERAntiSpyware if they belong to sites you trust or turn off Cookie scanning in the Preferences of SUPERAntiSpyware.

Cookies by themselves are not harmful as they are simple text files or text representations of data.

Threat Level (1-10) : 1

Processes :

CLSID List :

---------------------------------------------------

Nach dem 2. Versuch kam das Ergebnis heraus, dass der Rechner sicher ist und alle Updates des Antivirusprogramms durchgeführt wurden.


Ich hoffe hierbei nun alles richtig gemacht zu haben und danke euch nochmals für eure Hilfen und Beiträge!!!

Rheinländer

Hi,

wie nannten sich die Trojaner denn? Und wie hießen die Dateien in denen sie sich versteckt haben?

Welche Antivirensoftware nutzt du und welches Betriebssystem läuft auf deinem Rechner?

SASW hat keine Trojaner gefunden, hast du sonst noch ein Programm ausgeführt?

Erstelle zur Übersicht bitte ein Logfile mit HijackThis und poste es in deiner nächsten Antwort.

lg myrtille

Hello Myrtile ,

leider kann ich nict genau sagen wie sich die Trojaner genannt haben *schäm* bin da wirklich nicht so versiert und nicht so oft am PC. Betriebssystem ist XP Media Center und bisher hatte ich Kaspersky installiert, es aber wieder gelöscht weil ich mich nicht mehr ins Internet einwählen konnte wenn Kaspersky eingeschlatet war. Nachdem ich durch einen guten Bekannten auf dieses Forum gestoßen bin, habe ich SUPERAntiSpyware drauf geladen und merke aber das die Verbindung trotzdem noch sehr schlecht ist und der Rechner versucht sich ins Internet einzuwählen, obwohl noch nicht mal das Ethernetkabal verbunden ist. Dies ist das Ergebnis von dem Hijack-Programm. DANKE NOCHMALS für euren tollen Einsatz!

Liebste Grüsse, Rheinlaender


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:56:44, on 08.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\PROGRA~1\LAUNCH~1\LManager.exe
C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Windows Live\Messenger\MsnMsgr.Exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
C:\Programme\ATI Technologies\ATI.ACE\CLI.EXE
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Can\Lokale Einstellungen\Temporary Internet Files\Content.IE5\YH9STC45\HiJackThis[1].exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.nl/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe
O4 - HKLM\..\Run: [ntiMUI] C:\Programme\NewTech Infosystems\NTI CD & DVD-Maker 7\ntiMUI.exe
O4 - HKLM\..\Run: [Acer ePresentation HPD] C:\Acer\Empowering Technology\ePresentation\ePresentation.exe
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [ePower_DMC] C:\Acer\Empowering Technology\ePower\ePower_DMC.exe
O4 - HKLM\..\Run: [Boot] C:\Acer\Empowering Technology\ePower\Boot.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\CLIStart.exe"
O4 - HKLM\..\Run: [eRecoveryService] C:\Acer\Empowering Technology\eRecovery\eRAgent.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [sfebfd] C:\WINDOWS\system32\sfebfd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [updateMgr] c:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_1_0
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Acer Empowering Technology.lnk = C:\Acer\Empowering Technology\Acer.Empowering.Framework.Launcher.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: (no name) - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - (no file)
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Memory Check Service (AcerMemUsageCheckService) - Acer Inc. - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe

--
End of file - 6806 bytes

Hi,
Du solltest dringend wieder ein Antivirenprogramm installieren! Kostenlose Angebote gibt es zum Beispiel von Antivir und avast!.
Eine Firewall solltest du auch installieren!

lass bitte folgende Datei bei virustotal auswerten:

Zitat:

C:\WINDOWS\system32\sfebfd.exe

Du hast noch Malware aufm Rechner. Bitte so wenig wie möglich mit dem Rechner ins Internet gehen.

lg myrtille

EDIT: Ich wollt grad noch was sagen, wegen dem Bro. Aber du warst schneller.

Ohh Tatsache? Ich hab noch von diesem Zeugs aufm Rechner?? Mhh ich habe versucht die Datei mal durchlaufen zu lasse, so wie Du es mir angeraten hast. Hab C:\WINDOWS\system32\sfebfd.exe kopiert und dort eingegeben und das Ergebnis ist : 0 bytes size received / Se ha recibido un archivo vacio


Habsch das richtig gemacht?? Und soll ich dann SUPERAntiSpyware löschen und anstelle davon dann eines der genannten Programme installieren?

Mhh also nenn ich Dir lieber SIS

Hi,

Das SUPERAntiSpyware ist mit Sicherheit ein gutes AntiSPYWAREProgramm, was dir allerdings fehlt ist ein AntiVIRENProgramm.
Die beiden Programmarten haben unterschiedliche Funktionen und sollten daher zusammen benutzt werden.

Wichtig ist, dass man immer nur ein Antivirenprogramm (etwa Avast oder Antivir oder Kaspersky oder ...) installiert hat, da sich die Hintergrundwächter der verschiedenen Programme gegenseitig behindern. AntiSpywareProgramme kann man durchaus mehr als eins installiert haben.

Es kann sich bei der Meldung auch um ein inaktives Überbleibsel der Infektion handeln. Die Frage ist in diesem Fall: Findest du die Datei nicht, weil sie nicht mehr da ist, oder findest du die Datei nicht, weil die Infektion noch so aktiv ist, dass sie sich vor dir verstecken kann. Das gilt es herauszufinden.

Erstelle bitte ein Log mit RSIT. Es werden 2 Dateien erstellt (log.txt und info.txt). Poste den Inhalt beider Dateien hier

Hello myrtille,

was ich meinte wa sich nicht gefunden habe ist dies C:\WINDOWS\system32\sfebfd.exe also ich konnte nur System32 finden aber den Rest nicht.

War natürlich eben auch vorschnell und habe SUPERAntiSpyware shcon geläöscht gehabt ohne deine Antwort abzuwarten mhh muss wohl besser hörn

Das Random`s system info stockt bei "performing registry dump" und geht auch nicht mehr weg.

Lade mir gerade den Virenschutz von Antivirus runter und gleich danach dann erneut auch die SUPERAntiSpyware zusätzlich, hab ja jetzt zumindest verstanden das beide zusammen am hilfreichsten sind.