| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Virus/Trojaner nach Neuinstallation?Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
23.11.2008, 13:31
| #1 |
| |  Virus/Trojaner nach Neuinstallation? Hallo liebe Forum User, alos ich habe folgendes Problem. Habe mein System (Acer Notebook) aus Performancegründen mal wieder neu aufgesetzt. Nun habeich das Win XP Home drauf und erstmal nur den Anti Vir installiert. Schnell ein paar Treiber von der ofiziellen Acer-Webseite geladen, alle Geräte installiert. Dann nach ein paar mal Neustarten, zeigte mir Anti Vir, div. *exe im Ordner C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp oder im Ordner C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temporary Internet Files Es wurde angezeigt von AntiVir: TR/Agent.9773 Dateinamen waren z.B.: 873.exe c1234[1].exe 177.exe usw. habe schon folgendes Versuch: Abgesicherter Modus, Scanner laufen lassen, gefundene Daten mit Eraser löschen. Nochmals suchen lassen, nix gefunden... System normal gestartet. Dann nach ner Zeit fand Antivir wieder was in den besagten Ordnern. Habe zusätzlich noch Free AVG installiert und suchen lassen der hat auch wieder in den besagten Orndern was gefunden... Dann wieder abgesicherter Modus und dort wieder suchen lassen, diesmal aber mit Antivir, AVG und anti-Malware. Nachdem ich wieder alle gefunden Daten unter ...\Temp gelöscht hatte, fand wieder keiner was... Nun gut, versuchen kann ich wohl noch viel dachte ich, also system das ja eigentlich total jungfräulich war, neu aufgesetzt. Und es war wieder das gleiche... Habe bei google nichts wirkliches gefunden was mir helfen würde... Das einziege was ich dort gelesen habe ist, das es wohl auch "Programme/Trojaner" gibt die sich in eine sog. autostartdatei auf externen Festplatten, USB Sticks usw. ablegt und dann immerwieder die Daten auf C: aufspielt? Evtl habe ich ja auch das Problem? Was mich daran nun stört ist z.b. das ich hie mit teilweise 4 externen Platten Arbeite und nun befürchte das alle was im "autostart" haben könnten?! Nun bin ich mit meinem Latein am Ende und hoffe mir kann wer helfen?! Neuaufsetzen des Systems ist eigentlich kein Problem und wohl auch die einfachste Lösung, nur wie gesgat nach 4 Mal in 2 Tagen, und das dann immer ohne Erfolg, weiß ich nicht weiter...  Danke für eure Mühe! EDIT: Hier nich ein gerade erstelltes Logfile von HiJackThis: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:32:28, on 23.11.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\LAUNCH~1\LManager.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\RTHDCPL.EXE C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe C:\Programme\AVG\AVG8\avgui.exe C:\Programme\AVG\AVG8\avgscanx.exe c:\programme\avira\antivir personaledition classic\avscan.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\LManager.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AzMixerSel] C:\Programme\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKLM\..\Run: [AntiSpyWare2Guard] C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Windows Video Drivers] C:\RECYCLER\S-1-5-21-7821328730-6847726177-759648761-0753\winlogon.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1227366373453 O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O23 - Service: Ashampoo AntiSpyWare 2 Service (AASW2_Service) - Unknown owner - C:\Programme\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWareService.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe -- End of file - 4748 bytes Geändert von crashy1984 (23.11.2008 um 13:37 Uhr) |
|
23.11.2008, 16:20
| #2 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™   |  Virus/Trojaner nach Neuinstallation? Hallo,
__________________Zitat:
 wirklich nur auf der Acer-Seite gewesen?Welches SP war installiert als Du den ersten Gang ins Internet hattest? Zitat:
Du solltest Dich von dem gedanken verabschieden, dass man mit Virenscannern ein System effektiv absichern kann, mit mehreren machst Du das ganze nur noch schlimmer. Bitte lesen: 1.) Braucht man einen Virenscanner 2.) Kompromittierung unvermeidbar? Code:
ATTFilter C:\RECYCLER\S-1-5-21-7821328730-6847726177-759648761-0753\winlogon.exe
 Bitte mal bei Virustotal auswerten lassen und Ergebnisse komplett posten.
__________________ |
|
23.11.2008, 19:44
| #3 | |||
| | Virus/Trojaner nach Neuinstallation?Zitat:
Zitat:
 den ersten fund hatte er mir aber ja gezeigt als ich NUR AntiVir am laufen hatte,...und das ich ein System nicht 100% abschotten kann, mit einem oder 2 oder weiß der Geier wie viele Scanner ist mir schon klar gewesen. Aber besser AntiVir o.ä. als gar nix oder? PS: Welcher der beiden Antivirentools ist denn besser? AntiVir oder Free AVG? Zitat:
unter der regedit konnte ich folgendes finden: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run einen Eintrag miot Namen: Code:
ATTFilter Windows Video Drivers
Code:
ATTFilter C:\RECYCLER\S-1-5-21-7821328730-6847726177-759648761-0753\winlogon.exe
Geändert von crashy1984 (23.11.2008 um 19:56 Uhr) |
|
23.11.2008, 22:45
| #4 | ||
| /// Winkelfunktion /// TB-Süch-Tiger™ | Virus/Trojaner nach Neuinstallation?Zitat:
Begründung: 1.) Braucht man einen Virenscanner? 2.) Kompromittierung unvermeidbar? Zitat:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten. Poste alle Logfiles bitte mit Codetags umschlossen (#-Button) also so: HTML-Code: [code] Hier das Logfile rein! [/code]
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
| Themen zu Virus/Trojaner nach Neuinstallation? |
| antispyware, antivir, antivirus, avg, avg free, avira, bho, confused, einstellungen, eraser, exe, explorer, festplatte, free avg, google, helfen, hijack, hijackthis, hkus\s-1-5-18, home, internet, internet explorer, launch, logfile, neuinstallation?, notebook, realtek, scan, software, system, usb, virus/trojaner, windows, windows xp, windows xp sp3, xp sp3 |
Linear-Darstellung
