Ich kenne mich eigentlich ganz gut aus mit dem Pc, nur halt mit Trojaner, Viren, Spy - Malware entfernen nicht so gut!

Ich habe den Trojaner drauf der sich im Sys.32 mit einer bezeichnung aus dem HJT Log:

O20 - Winlogon Notify: __c00CE10 - C:\WINDOWS\system32\__c00CE10.dat

Ich kann ihn so nicht löschen da er sich immer wieder ins System reinschreibt.


Nun habe ich mich erkundigt wegen Combofix.
Was muss ich da genau beachten ohne das ich meinen Pc ruiniere, denn ich möchte den Pc nicht unbedingt Formatieren!


Und wenn mir jemand den Link zum dl - Combofix!


Bräuchte schnell eure Hilfe, möchte das echt so langsam erledigt haben


Lg, Lena

Hi Lena,
ein Neuaufsetzen wäre bei einer Zlob-Infektion natürlich das Beste.
Aber es ist deine Entscheidung.

Kannst du evtl. noch ein regelkonformes HijackThis Logfile posten?
Dann gehts für dich weiter..

Danke

Ich hoffe ich kann dir mit dem HJT-Lf helfen... denn ich blick da eh nicht durch


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:56:29, on 22.09.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.freenet.de/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20070501/qtinstall.info.apple.com/qtactivex/qtplugin.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1162603253178
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1162603238272
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll
O20 - Winlogon Notify: __c00CE10 - C:\WINDOWS\system32\__c00CE10.dat
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - Unknown owner - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: Windows System 32 - Unknown owner - C:\WINDOWS\sys32.exe (file missing)

--
End of file - 6669 bytes

So,
wenn wir fertig sind, solltest du noch das SP3 einspielen.
Ich gehe mal nicht davon aus, dass du Neuaufsetzen willst.
=====

Zitat:

O23 - Service: Windows System 32 - Unknown owner - C:\WINDOWS\sys32.exe (file missing)

Hast du die Datei gelöscht?
Auf jedenfall war/ist sie ein ganz übler Zeitgenosse der Familie SdBot.
Allein wegen der Infektion kann ich dir nur ein sauberes Neuaufsetzen ans Herz legen.

Mh, ich habe nichts gelöscht. Glaube ich zumindestens!
Nun ja, also muss ich meinen Pc Formatieren - nützt da also kein Combofix mehr???

Wenn du willst, kannst du es noch anwenden um weitere Indizien deines Problems zu erhalten.
Sag bescheid.

Aber du würdest es mir nicht nahe legen es zu benutzen?!
Müsste ich dann trotzdessen nachdem ich Combofix angewendet habe, formatieren?

Zitat:

Müsste ich dann trotzdessen nachdem ich Combofix angewendet habe, formatieren?

Wäre sinnvoll, ja.
Wenn du nicht Neuaufsetzen willst, sollten mindestens keine wichtigen Dinge wie Onlinebanking, etc. durchgeführt werden.
Auf online bezogenene Passwörter allgemein würde ich auch verzichten.

Also Formatiere ich
Muss ich dann meine ganzen Bilder löschen oder sind die auch infiziert???

Die kannst du natürlich sichern.
Musikstücke und (nur wichtige) Videos kannst du ebenfalls sichern.

Und sichern - halt ich zieh mir die Bilder auf ne Cd?! Wenn ich die dann nach dem Formt. raufziehe ist mein Pc trotzdem clean?

Und was würdest du mir für ein Anti Viren/Trojan/Spy-Malware prog. empfehlen?

Zitat:

Und sichern - halt ich zieh mir die Bilder auf ne Cd?! Wenn ich die dann nach dem Formt. raufziehe ist mein Pc trotzdem clean?

Auf CD brennen dürfte eigentlich relativ sicher sein.

Zitat:

Und was würdest du mir für ein Anti Viren/Trojan/Spy-Malware prog. empfehlen?

Als Firewall am besten einen Router und die WinXP/Vista Firewall. AntiVir als Virenklingel und MalwareBytes Anti-Malware für das gelegentliche Scannen.

Okey, dann danke ich für die Hilfestellung und werde mir morgen den Pc vornehmen!!

Brrr... hoffentlich geht alles glatt!


Liebe Grüße und gute Nacht

Zitat:

Okey, dann danke ich für die Hilfestellung und werde mir morgen den Pc vornehmen!!

Brrr... hoffentlich geht alles glatt!

Schaffst du schon.
Notfalls kannst du dir die Boardanleitung zum Neuaufsetzen ja ausdrucken.

Viel Glück,
dir auch gute Nacht.