Hallo, bin durch mein Anti-Virus Programm (Norton 09) auf einige Viren aufmerksam geworden
, die ich anschließend entfernt habe.
Einige Ordner auf dem Pc hatten auch andere Bilder , die ich nicht reingesetzt habe und der Pc hang manchmal, so dass ich nix machen konnte
Danach hat ca! yahoo anti-spy nochmal Viren gefunden
, , unter anderem einen Trojaner unter C:\Windows\System32\scvhost.exe (55kb) (später mit Malwarebytes' Anti-Malware enfernt). Neben der scvhost.exe war eine scvhost -datei(228kb), die ich mit Editor öffnete und folgeden Inhalt fand (Auschnitt) :
HTML-Code:
ÿÙ�� � � � % * ì�YouTube - President John F Kennedy Secret Society Speech version 2 - Mozilla Firefoxÿjohn f kennedy speaþRÜCKþech germanþEINGABEþ
hii wanted dtþRÜCKþþRÜCKþto ask you ivþRÜCKþf you have the wþRÜCKþenþRÜCKþþRÜCKþwhole english transþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþenglish transkription from you þRÜCKþr video:þEINGABEþ
john f kennedaþRÜCKþy speech germanþEINGABEþ
ÿÙ�� � � � 5 � ²�iGoogle - Mozilla FirefoxÿyyojkjfdÿÙ�� � � � 8 ) Õ�YouTube - John F. Kennedy - "Ich Bin Ein Berliner" Speech - Mozilla Firefoxÿudo voigt npdþEINGABEþ
die laþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþsind þRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþdielþRÜCKþ labern iþRÜCKþeinfach þRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜCKþþRÜ und so weiter
Standen einige Daten drauf die ich davor in Chats(auch Passwörter), etc. geschireben habe
, deshalb hab ich diese Datei sicherheitshalber gelöscht, jedoch hab ich im Forum gelesen, dass dadurch Fehler im System entstehen können. War diese Datei durch Keylogger enstanden oder ist das nichts bedenkliches? (sry für die Frage
)Kann jetzt ein Fehler im System o.Ä. enstehen?!
Danach bin ich wie hier beschrieben vorgegangen(
http://www.trojaner-board.de/69886-a...-beachten.html)
Hab mit den
CCleaner sauber gemacht (856,3MB entfernt
)
) und den computer mit Malware untersucht, hier ist das Ergebnis:
HTML-Code:
Malwarebytes' Anti-Malware 1.36
Datenbank Version: 2031
Windows 6.0.6001 Service Pack 1
23.04.2009 21:05:24
mbam-log-2009-04-23 (21-05-24).txt
Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 230501
Laufzeit: 2 hour(s), 8 minute(s), 31 second(s)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 2
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 3
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\advantage (Adware.Vomba) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{055fd26d-3a88-4e15-963d-dc8493744b1d} (Adware.BHO) -> Quarantined and deleted successfully.
Infizierte Registrierungswerte:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\scvhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\scvhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
C:\Windows\System32\scvhost.exe (Backdoor.Bot) -> Quarantined and deleted successfully.
C:\Users\Robert\AppData\Roaming\scvhost.exe (Backdoor.Bot) -> Delete on reboot.
C:\Program Files\ICQToolbar\toolbaru.dll (Adware.BHO) -> Quarantined and deleted successfully. Beim Scan mit
HijackThis kam folgendes raus:
HTML-Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:06:38, on 25.04.2009
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18226)
Boot mode: Normal
Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Windows\RtHDVCpl.exe
C:\Acer\Empowering Technology\SysMonitor.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe
C:\Program Files\ScanSoft\OmniPageSE4\OpWareSE4.exe
C:\Windows\System32\rundll32.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
C:\Windows\ehome\ehmsas.exe
C:\Program Files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\FRITZ!DSL\StCenter.exe
C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe
C:\Program Files\Norton Internet Security\Engine\16.5.0.135\ccSvcHst.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\Windows Media Player\wmplayer.exe
C:\Program Files\windows defender\MSASCui.exe
C:\Program Files\ICQ6.5\ICQ.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://de.rd.yahoo.com/customize/ycomp/defaults/sp/*http://de.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://global.acer.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.intl.acer.yahoo.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.intl.acer.yahoo.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.rd.yahoo.com/customize/ycomp/defaults/su/*http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
O1 - Hosts: ::1 localhost
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\IPSBHO.DLL
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\5.1.1309.3572\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Program Files\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Norton Internet Security\Engine\16.5.0.135\coIEPlg.dll PS: kenn mich nicht gut mit computern aus, bin froh, dass ich auf diese Seite gestoßen bin.
Falls es im Interesse ist: Habe meine Festplatte vor den Hijack-This Scan auch bereinigt und defragementiert, ansonsten könnt ihr mich für weitere Daten fragen
Bin für jede Hilfe dankbar
Linear-Darstellung
