Hallo,

habe nun den Rechner meiner mutter neuinstalliert weil er ab und zu zicken gemacht hatt und auch relativ langsam lief. Nach der Neuinstallation ist mir aufgefallen das 4 unbekannte programme laufen, mit den namen "Otrt omuirbcd heawnh, Iaacset Iteooe ocegerkh cian, Apheees hrgbwr und uninst.exe" Die progrmme hab ich unter kaspersky in "Nicht vertrauenswürdig" gelegt.Ebenfalls lässt sich firefox nicht mehr öffnen, der sagt das er nämlich bereits geöffnet sei. Und im Task manager ist 2 mal der IExplorer offen. Komme auch nur über den ins Internet.

Hoffe ihr könnt mir helfen, hier der Hijack logfile

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:19:55, on 01.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\MessengerPlus! 3\MsgPlus.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.gmx.de/
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ievkbd.dll
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\MessengerPlus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [Bits peak locks body] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Noun Love Bits Peak\ace eggs.exe
O4 - HKLM\..\Run: [a-squared] "C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [for cash] C:\DOKUME~1\Evi\ANWEND~1\TRAYPA~1\DateGreat.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\adialhk.dll,C:\PROGRA~1\KASPER~1\KASP ER~1\kloehk.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 2009\avp.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

--
End of file - 3411 bytes

Hallo,

Zitat:

Zitat von Slayn

Nach der Neuinstallation ist mir aufgefallen das 4 unbekannte programme laufen, mit den namen "Otrt omuirbcd heawnh, Iaacset Iteooe ocegerkh cian, Apheees hrgbwr und uninst.exe"

wie kann so etwas passieren? Warst Du vor dem ersten Gang ins Internet ungepatcht (kein SP3!) ? Oder hast Du irgendwelche Setups aus dem verseuchten Windows behalten und ausgeführt?

Hallo,

naja ich hatte die i-net verbindung aufgebaut als sp2 drauf war (kaspersky war dann schon drauf), allerdings hatte ich usb sticks angeschlossen (die ich vorher mit meinem rechner gescannt hatte) Eben hatte kaspersky ein trojaner angezeigt, aber noch ehe ich den aufschreiben konnte is der pc heruntergefahren. schreibe jetzte von meinem rechner aus.

Hallo

mh kaspersky hatt das noch rausgefunden
trojan.win32.obfuscated.gen
hab schon per google geguckt aber leider keine "hilfsmaßnahmen" gefunden.

Hallo Slayn,

Meine Tips:

deinstalliere über die Systemsteuererung den

Zitat:

C:\Programme\MessengerPlus! 3\MsgPlus.exe

der bringt Ad- und Spywarewaremüll mit.

Von

Zitat:

C:\Programme\a-squared Anti-Malware\a2service.exe
C:\PROGRAMME\A-SQUARED ANTI-MALWARE\a2guard.exe

rate ich ab und würde ich ebenfalls deinstallieren. Ein aktiver Guard (Kaspersky) genügt. Zwei aktive Guards können das System verlangsamen und soger schlimmstenfalls abschießen.

Räume das System mit dem CCleaner auf, den Registry- Cleaner bitte mehrfach laufen lassen bis nichts mehr gefunden wird.

Scanne das System zur Sicherheit mit Malwarebytes Anti-Malware. Dieses Programm besitzt keinen aktiven Guard und kann auf dem Rechner belassen werden.

Und: Bitte dringend das SP3 aufspielen sowie alle Folgeupdates. Und wenn schon Internetexplorer, dann bitte auf die Version 7 updaten.

Gruß

Jaipur

Und nach der De-Installation des MessengerPlus sowie vor der Installation des Windows-SP3 arbeite diese Anleitung ab. Dabei geht es um diese Logfile-Einträge:

Zitat:

Zitat von Slayn

O4 - HKLM\..\Run: [Bits peak locks body] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Noun Love Bits Peak\ace eggs.exe
O4 - HKCU\..\Run: [for cash] C:\DOKUME~1\Evi\ANWEND~1\TRAYPA~1\DateGreat.exe

Im Anschluss bitte ein neues Logfile posten.

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA

[/edit]