|
Log-Analyse und Auswertung: win:32Trojan-gen{other} und HiJackTHis dazuWindows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML. |
22.02.2009, 02:19 | #1 |
| win:32Trojan-gen{other} und HiJackTHis dazu Hallo an alle, ich bin neu hier und suche Hilfe. Habe etwas heruntergeladen und mein avast! (Version 4.8 Home Edition) hat einen Trojaner gefunden, der so heißt, wie ich das Thema genannt habe. Das Programm hat empfohlen, ihn in einen Container zu verschieden, was jedoch nicht geklappt hat, weil eine Fehlermerldung kam. Die hätte ich mir aufschreiben sollen, ich weiß sie leider nicht mehr. Dann hab ich versucht den Trojaner zu löschen, hat mir aber Avast auch nicht gemacht, und verschoben hat er den auch nicht. Ich habe bereits gegoogelt und bin auf dieses Forum gestoßen. Da wurde HijackThis empfohlen, was ich sogleich ausprobiert habe. Hier der Log dazu. Den Rest, der in diesem Beitrag stand, hab ich leider nicht verstanden, hatte noch nie mit sowas zu tun und kenn mich allgemein nicht so gut aus Wie kann ich denn im abgesichterten Modus starten? Sorry für die blöden Fragen ... Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 01:53:29, on 22.02.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.5730.0011) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Sygate\SPF\smc.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\CyberLink\Shared files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\ehome\ehtray.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Hp\HP Software Update\HPWuSchd2.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe C:\Programme\Picasa2\PicasaMediaDetector.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\WINDOWS\eHome\ehmsas.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\WINDOWS\system32\dllhost.exe C:\Programme\Babylon\Babylon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\HPQ\shared\hpqwmi.exe C:\Programme\eMule.de 0.46c v17\emule.exe C:\Programme\MSN Messenger\usnsvc.exe C:\Programme\VideoLAN\VLC\vlc.exe C:\Program Files\Real\RealPlayer\RealPlay.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Alwil Software\Avast4\ashLogV.exe C:\WINDOWS\system32\taskmgr.exe C:\Dokumente und Einstellungen\Drea\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shadowlights.at.tf/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 O1 - Hosts: 70.86.83.53 localhost O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKLM\..\Run: [WatcherHelper] "C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed\BLASC.exe" silent O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe" O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing) O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{61CC6D52-0A2D-4819-9F1A-913292630059}: NameServer = 192.168.1.254 O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DDF1F-3AF6-4B79-9CD0-FFA42D58AF38}: NameServer = 192.168.1.254 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe Ich bin total dankbar für eure Hilfe! LG Andrea |
22.02.2009, 13:56 | #2 |
/// Selecta Jahrusso | win:32Trojan-gen{other} und HiJackTHis dazu Hallo Drea
__________________In den Abgesicherten Modus kommst du wenn du während des hochfahrensmehrmals auf F8 drückst Lade dir bitte Malwarebytes und CCleaner herunter und führe es laut Anleitung aus Poste mir bitte,WO Avast den Trojaner gefunden hat Nächster Post File MBAM File SuperAntispyware Fund von Avast(wenn möglich) |
22.02.2009, 19:25 | #3 |
| win:32Trojan-gen{other} und HiJackTHis dazu Vielen Dank für die Antwort,
__________________ich habe Malwarebytes im abgesicherten Modus laufen lassen. Das ist der Log dazu: Malwarebytes' Anti-Malware 1.34 Datenbank Version: 1792 Windows 5.1.2600 Service Pack 2 22.02.2009 18:33:09 mbam-log-2009-02-22 (18-33-09).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 111737 Laufzeit: 58 minute(s), 37 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Habe vorher jedoch Avast! im normalen Modus nochmals laufen lassen, wobei er 2 infizierte Objekte gefunden hat. Diese hab ich, wie vom Programm empfohlen, in Quarantäne gesteckt (oder wie das heißt). Als erstes hat Avast! den Trojaner hier gefunden (also gestern Nacht): 22.02.2009 01:47:14 Drea 1928 Sign of "Win32:Adware-gen [Adw]" has been found in "C:\Programme\eMule.de 0.46c v17\Incoming\Download Die W****** securely with new Secured Browser.zip\SecuredeIE_CL_SE_DW_0801.EXE\[Embedded_R#001280]\%MAINDIR%\setup.exe\IgfxSys.dll" file. Als ich das Virenprogramm heute durchlaufen ließ, fand er folgende 2 Objekte: 22.02.2009 11:57:04 Drea 1196 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\WR-1-2~1.EXE" file. und 22.02.2009 12:11:08 Drea 1196 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{DFA1E99A-80EE-4E68-B062-4A1313F811EC}\RP475\A0075718.EXE" file. Leider weiß ich nicht was du mit "File SuperAntispyware" meinst *rotwerd* Den CCleaner vielleicht? Den hab ich auch laufen lassen, hat über 100 Mb gelöscht. Aber ich habe nicht herausgefunden, wie ich da ein File posten kann. Hab Avast! nun nochmals laufen lassen, nun findet das Programm nichts mehr. Ich hoffe ich habe alles richtig gemacht. Die Anleitungen hier sind sehr übersichtlich, sodass man eigentlich gar nichts falsch machen kann und sogar als Laie das durchführen kann. Dennoch bleibt natürlich eine Unsicherheit, ob ich alles richtig gemacht hab Liebe Grüße Andrea |
22.02.2009, 19:34 | #4 | |
/// Selecta Jahrusso | win:32Trojan-gen{other} und HiJackTHis dazu Hallo Andrea Zitat:
eMule ist ein P2P Programm was dich eventuell zu Illegalen Handlungen verleitet Die Daten von dort sind meistens verseucht.Auch wenn du es vielleicht schon länger ohne Probleme verwendest,rate ich dir im eigenem Ermessen davon ab.Malware wird leider nicht weniger und immer mehr Rechner sind verseucht. Deinstallier bitte eMule Sorry Link vergessen SuperAntiSpyware nach Anleitung verwenden Danach bitte Deaktivier dein AntiVir Programm Dein System Online Scannen lassen bei F-Secure Unbedingt mit IE ins netz gehen Active X erlauben Auf Vollständigen Scan umstellen Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern Beide Logfiles posten
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
22.02.2009, 21:23 | #5 |
| win:32Trojan-gen{other} und HiJackTHis dazu Hallo, danke für deinen Rat. Hier nun der Bericht von SuperAntiSpyware: SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 02/22/2009 at 08:27 PM Application Version : 4.25.1012 Core Rules Database Version : 3769 Trace Rules Database Version: 1729 Scan type : Complete Scan Total Scan Time : 00:35:54 Memory items scanned : 498 Memory threats detected : 0 Registry items scanned : 4654 Registry threats detected : 0 File items scanned : 40495 File threats detected : 128 Adware.Tracking Cookie C:\Dokumente und Einstellungen\Drea\Cookies\drea@im.banner.t-online[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@doubleclick[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adtech[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adfarm1.adition[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.incentaclick[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@server.iad.liveperson[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@eas.apm.emediate[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.justlanded[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@overture[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@clicktorrent[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@tribalfusion[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.oe24[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adbrite[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@incentaclick[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@int.sitestat[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@komtrack[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adrevolver[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@fastclick[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@pacificpoker[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.revsci[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@bp.specificclick[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@zbox.zanox[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.clicksor[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.adreactor[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.yieldmanager[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@media.adrevolver[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@euros4click[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@imrworldwide[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.httpool[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.zanox-affiliate[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@tacoda[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@track.adform[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@tracking.weinwelt[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@atwola[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@server.cpmstar[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@videoegg.adbureau[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@clickbank[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adsrv.admediate[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.gratis-counter[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@rotator.adjuggler[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@wunderloop.zanox[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@sales.liveperson[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@servedby.adxpower[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.adshopping[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@zanox[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.googleadservices[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@de2.komtrack[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ehg-upcchellomedia.hitbox[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.krawall[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.quartermedia[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad2.websingles[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@bertelsmann.122.2o7[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@sevenoneintermedia.112.2o7[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.advertisingbox[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.trafficrank[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@apm.emediate[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@e-2dj6wjmiaoczeeo.stats.esomniture[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.mmoga[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@traffictrack[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads2.net2day[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ssl-cdn.euroclick[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.addynamix[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.net2day[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@server01.agmedia[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@estat[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.salebroker[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@axelspringer.122.2o7[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@specificclick[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.xboxdynasty[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@247realmedia[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.oneview[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@lstat.youku[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.adition[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads4.net2day[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@statse.webtrendslive[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.pointroll[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@cgm.adbureau[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@socialmedia[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@rambler[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads3.net2day[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@arcor.122.2o7[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.71i[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ehg-yvesrocher.hitbox[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@account.live[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@stepstone.112.2o7[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads3.exp[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@livestat.derstandard[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@content.yieldmanager[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.socialtrack[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserv-new.20six[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@tele2.112.2o7[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.toptarif[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@e-2dj6wfkiupdpmdp.stats.esomniture[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@iacas.adbureau[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@passende-gedichte-finden[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@eqtracking[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adlegend[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@eas4.emediate[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@stat.youku[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@content.yieldmanager[3].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@test.coremetrics[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.websingles[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@toplist[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@bluestreak[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ssl4stats[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.fmxoffice[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@apodiscounter[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@stat.aldi[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@e-2dj6wgk4glczehp.stats.esomniture[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[3].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@msnaccountservices.112.2o7[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.etracker[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@media.gan-online[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@tracking.quisma[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@tto2.traffictrack[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@s4.trafficmaxx[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.bittorrent[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adbureau[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@myroitracking[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@sales.liveperson[3].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@xiti[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[4].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@ehg-tvtv.hitbox[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@banner.testberichte[2].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@content.yieldmanager.edgesuite[1].txt C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.unitedcolo[1].txt Und nun von F-Secure: Scanning Report Sunday, February 22, 2009 20:39:54 - 21:12:36 Computer name: PAVILION Scanning type: Scan system for malware, rootkits Target: C:\ -------------------------------------------------------------------------------- Result: 5 malware found TrackingCookie.Adtech (spyware) System TrackingCookie.Advertising (spyware) System TrackingCookie.Atdmt (spyware) System TrackingCookie.Doubleclick (spyware) System TrackingCookie.Webtrends (spyware) System -------------------------------------------------------------------------------- Statistics Scanned: Files: 18286 System: 4142 Not scanned: 6 Actions: Disinfected: 0 Renamed: 0 Deleted: 0 None: 5 Submitted: 0 Files not scanned: C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM -------------------------------------------------------------------------------- Options Scanning engines: F-Secure USS: 3.0.0 F-Secure Hydra: 3.6.8511, 2009-02-22 F-Secure AVP: 7.0.171, 2009-02-21 F-Secure Pegasus: 1.20.0, 1970-00-01 F-Secure Blacklight: 0.0.0 Scanning options: Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristics Ich hätte noch eine Frage ... was macht das "Ding" eigentlich, das ich mir eingefangen hab? Wobei mich bei der Antwort vor allem interessiert, ob ich nun meine Passwörter ändern muss? Kann der Trojaner oder was auch immer das war meine Passwörter einsehen? Bis auf Windows Messenger und Skype habe ich keine gespeichterten Passwörter auf meinem Computer. Und ich war auch darauf bedacht, so wenig Programme als möglich zu öffnen, solange ich dieses Problem nicht behoben hab. Bis jetzt habe ich das Passwort beim Windows Login eingegeben, habe Outlook geöffnet und hier auf dieser Seite natürlich das Passwort eingegeben. Grüße Andrea |
22.02.2009, 22:18 | #6 |
/// Selecta Jahrusso | win:32Trojan-gen{other} und HiJackTHis dazu Sieht so aus als hätte sich da was in die Systemwiederherstellung genistet Deaktivier die Systemwiederherstellung Schliesse den USB Stick an Lade dir ComboFix von bleepingComputer.com Speicher es auf deinem Desktop Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen Starte nun combofix.exe Lese dir nun die Warnmeldung und Disclaimer genau durch-->mit Ja bestätigen Es öffnet sich ein blaues Fenster Schreibe 1-->enter Nun musst du einen Systemwiederherstellungspunkt erstellen-->Folge dazu genau den Anweisungen der Scan folgt Das log wird unter combofix.txt erscheinen Alles markieren-->strg+C-->und mit strg+v in den Thread einfügen
__________________ --> win:32Trojan-gen{other} und HiJackTHis dazu |
22.02.2009, 22:47 | #7 |
| win:32Trojan-gen{other} und HiJackTHis dazu Huch, ich weiß nicht, ob das nun geklappt hat ... Die Systemwiederherstellung war bereits deaktiviert. Aber ich versteh nicht, warum ich einen USB Stick anstecken musste ^^ Und es kam mir vor, dass ComboFix alles von selbst gemacht hat. Hier der Bericht dazu: ComboFix 09-02-21.01 - Drea 2009-02-22 22:35:47.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1150.627 [GMT 1:00] ausgeführt von:: c:\dokumente und einstellungen\Drea\Desktop\ComboFix.exe AV: avast! antivirus 4.8.1335 [VPS 090221-0] *On-access scanning disabled* (Updated) * Neuer Wiederherstellungspunkt wurde erstellt . (((((((((((((((((((((((((((((((((((( Weitere Löschungen )))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\system32\winlogon.exe . . . ist infiziert!! . ((((((((((((((((((((((( Dateien erstellt von 2009-01-22 bis 2009-02-22 )))))))))))))))))))))))))))))) . 2009-02-22 20:37 . 2009-02-22 20:37 <DIR> d-------- C:\fsaua.data 2009-02-22 19:47 . 2009-02-22 19:47 <DIR> d-------- c:\programme\SUPERAntiSpyware 2009-02-22 19:47 . 2009-02-22 19:47 <DIR> d-------- c:\dokumente und einstellungen\Drea\Anwendungsdaten\SUPERAntiSpyware.com 2009-02-22 19:47 . 2009-02-22 19:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com 2009-02-22 18:47 . 2009-02-22 18:47 <DIR> d-------- c:\programme\CCleaner 2009-02-22 15:56 . 2009-02-22 15:57 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware 2009-02-22 15:56 . 2009-02-22 15:56 <DIR> d-------- c:\dokumente und einstellungen\Drea\Anwendungsdaten\Malwarebytes 2009-02-22 15:56 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-02-22 15:56 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-02-22 12:00 . 2009-02-22 12:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes 2009-02-21 14:50 . 2009-02-21 14:50 <DIR> d-------- C:\CrashReport . (((((((((((((((((((((((((((((((((((( Find3M Bericht )))))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-22 18:46 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard 2009-02-22 00:47 --------- d-----w c:\programme\eMule.de 0.46c v17 2009-02-22 00:20 --------- d-----w c:\dokumente und einstellungen\Drea\Anwendungsdaten\Skype 2009-02-21 23:06 --------- d-----w c:\dokumente und einstellungen\Drea\Anwendungsdaten\skypePM 2009-02-21 17:40 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment 2009-02-17 22:37 --------- d-----w c:\dokumente und einstellungen\Drea\Anwendungsdaten\dvdcss 2009-01-29 18:39 --------- d-----w c:\dokumente und einstellungen\Drea\Anwendungsdaten\uTorrent 2008-03-06 16:37 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat 2008-02-02 10:07 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll 2008-02-02 10:07 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll 2008-02-02 10:07 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll 2008-02-02 10:07 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll 2008-02-02 10:07 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll . ------- Sigcheck ------- 2006-10-21 23:01 507392 33aa1f31de9099bb306f4195fec61421 c:\windows\system32\winlogon.exe . (((((((((((((((((((((((((((( Autostartpunkte der Registrierung )))))))))))))))))))))))))))))))))))))))) . . *Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Babylon Translator"="c:\programme\Babylon\Babylon.exe" [2006-10-22 2400323] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2006-07-17 15360] "NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928] "SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392] "ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 339968] "Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2005-02-17 233534] "HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152] "SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492] "SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316] "eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816] "hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-11 794624] "Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2006-12-12 366400] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000] "SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-06-30 2376928] "WatcherHelper"="c:\programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe" [2006-12-16 95776] "QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-04-27 282624] "RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-02-07 71216] "LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832] "TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-26 185896] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programme\\MSN Messenger\\msnmsgr.exe"= "c:\\Programme\\MSN Messenger\\livecall.exe"= "<NO NAME>"= "c:\\Programme\\Sierra Wireless Inc\\3G Watcher\\SwiApiMux.exe"= "c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"= "c:\\Programme\\uTorrent\\uTorrent.exe"= "c:\\Programme\\Skype\\Phone\\Skype.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-03-30 114768] R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944] R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024] R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:\programme\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51:58 13560] R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-03-30 20560] R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [2006-10-21 200192] R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408] R3 swivsp;AC8xx Virtual Serial Port;c:\windows\system32\drivers\swivspnt.sys [2006-10-12 20352] S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [2006-12-13 1527900] --- Andere Dienste/Treiber im Speicher --- *NewlyCreated* - F-SECURE_STANDALONE_MINIFILTER *NewlyCreated* - FSBL *NewlyCreated* - SASDIFSV *NewlyCreated* - SASENUM *NewlyCreated* - SASKUTIL *Deregistered* - F-Secure Standalone Minifilter *Deregistered* - fsbl [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56df9774-1cd7-11dc-b3d7-0014a5109ccb}] \Shell\AutoRun\command - E:\OnSpcLCK.exe . Inhalt des "geplante Tasks" Ordners 2009-02-20 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-01-10 14:42] . - - - - Entfernte verwaiste Registrierungseinträge - - - - HKLM-Run-AirCardEnabler - (no file) . ------- Zusätzlicher Suchlauf ------- . uStart Page = hxxp://www.shadowlights.at.tf/ IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 TCP: {61CC6D52-0A2D-4819-9F1A-913292630059} = 192.168.1.254 TCP: {B44DDF1F-3AF6-4B79-9CD0-FFA42D58AF38} = 192.168.1.254 FF - ProfilePath - . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-22 22:37:11 Windows 5.1.2600 Service Pack 2 NTFS Scanne versteckte Prozesse... Scanne versteckte Autostarteinträge... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????6?6?0?6??????? ???B?????????????hLC???????? Scanne versteckte Dateien... Scan erfolgreich abgeschlossen versteckte Dateien: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}] "ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl" . --------------------- Durch laufende Prozesse gestartete DLLs --------------------- - - - - - - - > 'winlogon.exe'(804) c:\windows\system32\Ati2evxx.dll . Zeit der Fertigstellung: 2009-02-22 22:38:33 ComboFix-quarantined-files.txt 2009-02-22 21:38:26 Vor Suchlauf: 22 Verzeichnis(se), 14.040.195.072 Bytes frei Nach Suchlauf: 22 Verzeichnis(se), 14,356,344,832 Bytes frei WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect 156 Das ist vielleicht ein Prozess, aber danke für die Geduld Gentlman! |
23.02.2009, 21:33 | #8 |
/// Selecta Jahrusso | win:32Trojan-gen{other} und HiJackTHis dazu Passt alles Lege folgenden Ordner an:C:\Programme\regsrch Download von regsrch-zip von Bobbi Flekman und entpacke es in den erstellten Ordner Nun starte regsrch.vbs und und gib als Suchzweig winlogon.exe ein wenn der scan beendet ist öffnet sich ein Editorfenster Dies bitte vorher mit strg+A markieren und mit strg+C speichern bevor du es schliesst.Mit strg+V in ein Textdokument speichern oder direkt hier posten Keine Funde bitte Rückmeldung Bei Funden bitte Text posten
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
23.02.2009, 21:42 | #9 |
| win:32Trojan-gen{other} und HiJackTHis dazu Hallo, mal sehen, ob das nun gut oder schlecht ist ... REGEDIT4 ; RegSrch.vbs © Bill James ; Registry search results for string "winlogon.exe" 23.02.2009 21:40:31 ; NOTE: This file will be deleted when you close WordPad. ; You must manually save this file to a new location if you want to refer to it again later. ; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.) [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\SysProcs] "winlogon.exe"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Terminal Server\SysProcs] "winlogon.exe"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\SysProcs] "winlogon.exe"=dword:00000000 |
23.02.2009, 22:07 | #10 |
/// Selecta Jahrusso | win:32Trojan-gen{other} und HiJackTHis dazu ne sieht nicht gut aus Wir können dein System Bereinigen aber ich empfehle dir,wenn es dir möglich ist,dein System neu aufzusetzen. Wir können nie 100%ig garantieren das wir dein System auch wieder komplett Sauber bekommen Mit einem bereinigtem System würde ich dir aber von Online-Banking in Zukunft abraten Wenn du dennoch bereinigen willst Start-->Ausführen-->notepad reinschreiben Kopiere nun Folgenden Text aus der Code-Box komplett in das Notepad und Speichere es als CFScript.txt Schliesse nun alle Browser und offenen Programme Trenne dich vom Netz Ziehe nun das CFScript in das ComboFix ICON ComboFix startet automatisch Während CF läuft nichts am Rechner arbeiten-->auch nicht mit der Maus Wenn CF fertig ist speichert es eine File was unter C:\ComboFix.txt zu finden ist Dies hier Posten An alle Mitleser Dieses Script wurde ausschließlich für den User erstellt und darf auf keinen Fall auf anderen Rechnern verwendet werden Es kann zu erheblichen Problemen mit dem Rechner kommen Die durchführung dieser Anwweisung erfolgt auf eigene Gefahr Teile mir bitte mit ob du diesen Schritt machen willst
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie Geändert von Larusso (23.02.2009 um 22:45 Uhr) Grund: Skript entfernt |
23.02.2009, 22:27 | #11 |
| win:32Trojan-gen{other} und HiJackTHis dazu Oje, wenn das so gefährlich ist, dann werd ich wohl eher neu aufsetzen müssen. Aber dazu brauch ich Hilfe und die bekomm ich wohl nicht so schnell. Oder was könnte denn passieren, wenn ich das System versuche zu bereinigen? Mich interessiert noch, ob ich denn meine Dateien speichern kann auf einem externen Speicher? Oder nur bestimmte? Z.B meine eigenen Dateien, sämtliche Fotos, mp3's, Emails ... oder wäre das nicht sinnvoll, weil die infiziert sein könnten? |
23.02.2009, 22:43 | #12 |
/// Selecta Jahrusso | win:32Trojan-gen{other} und HiJackTHis dazu
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
23.02.2009, 22:47 | #13 |
| win:32Trojan-gen{other} und HiJackTHis dazu Ja, das kann ich aber wohl trotzdem nicht selbst machen und ich hoffe, ich kann noch meine mir wichtigen Dateien retten. Ich danke dir jedenfalls für die sehr kompetente Hilfe! |
24.02.2009, 17:49 | #14 |
/// Selecta Jahrusso | win:32Trojan-gen{other} und HiJackTHis dazu Sorry Frage übersehen Datensicherung: Du kannst dir alle nicht ausführbaren Datein auf eine Externe Festplatte speichern.Hast du ein Freeware AnTiVir Programm kannst du dir die Setup.exe ebenfalls darauf kopieren. Dein erster Besuch im Internet sollte dich auf die update-Seite von Microsoft führen und lade dir alle Updates unter Benutzerdefiniert herunter bis du nichts mehr angeboten bekommst. Dies machst du in Zukunft jeden zweiten Dienstag im Monat Benutze stehts einen allternativen Browser wie Mozilla,Opera..... IE hat viele Sicherheitslücken aber muss trotzdem UptoDate sein wie auch alle anderen Programme auf deinem System Verzichte auf P2P oder ähnliches Wenn du Probleme hast oder Fragen zum Neuaufsetzten oder anderes,kannst du dich jeder Zeit bei uns Melden-->wir helfen gerne PS:würde mich über eine Rückmeldung freuen wenn das Aufsetzten geklappt hat Und bedenke: Der unsicherste Malwareschutz sitzt meist 60cm hinter den Bildschrim Wir wünschen viel Erfolg
__________________ mfg, Daniel ASAP & UNITE Member Alliance of Security Analysis Professionals Unified Network of Instructors and Trusted Eliminators Lerne, zurück zu schlagen und unterstütze uns! TB Akademie |
Themen zu win:32Trojan-gen{other} und HiJackTHis dazu |
adobe, antivirus, avast, avast!, babylon, bho, desktop, einstellungen, excel, explorer, firewall, frage, google, hijack, hijackthis, home, internet, internet explorer, launch, löschen, magix, picasa, programm, programme, rojaner gefunden, sierra, software, starten, system, trojaner, trojaner gefunden, windows, windows xp |