Hallo zusammen,
bitte helft mir! Ich habe den Trojaner TR/Spy.Tofger.BI.2.
Ich habe gelesen, daß man die Sachen ich mit HijacKThis "fixen" muß.
Ich weiß aber nicht, was "fixen" heißt. Heißt "fixen", daß der Eintrag,
den man im Ankreuzkästchen markiert hat gelöscht wird, wenn man auf "Fix checked" klickt?
Anders, was muß man tun, um etwas zu fixen und was passiert dann?
Bei Hijyckthis.de habe ich mein logfile getestet. da ist neben dem rot, auch ne Menge gelb. Würdet ihr die gelben Sachen auch "löschen?"

Mein logfile im abgesicherten Modus:

Logfile of HijackThis v1.98.2
Scan saved at 03:05:32, on 03.09.04
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\PROGRAMME\LAVASOFT\AD-AWARE SE PERSONAL\AD-AWARE.EXE
C:\EIGENE DATEIEN\HIJACKTHIS.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\poqpa.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\poqpa.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\poqpa.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\poqpa.dll/sp.html#37049
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\poqpa.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\poqpa.dll/sp.html#37049
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\poqpa.dll/sp.html#37049
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
R3 - Default URLSearchHook is missing
F1 - win.ini: run=hpfsched
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Class - {9ECDBA6C-F831-3F4A-F6A8-90C48A66A485} - C:\WINDOWS\SYSTEM\ATLZE.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\ANTIVIR\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\Run: [mdac_runonce] C:\WINDOWS\SYSTEM\runonce.exe
O4 - HKLM\..\Run: [smnymzwiy] C:\WINDOWS\SYSTEM\zjcwqh.exe
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [ATLNV.EXE] C:\WINDOWS\SYSTEM\ATLNV.EXE
O4 - HKLM\..\RunServices: [MFCUT32.EXE] C:\WINDOWS\MFCUT32.EXE
O4 - HKLM\..\RunServices: [SYSRZ.EXE] C:\WINDOWS\SYSTEM\SYSRZ.EXE
O4 - HKLM\..\RunServices: [SDKDE.EXE] C:\WINDOWS\SYSTEM\SDKDE.EXE
O4 - HKLM\..\RunServices: [MSEV.EXE] C:\WINDOWS\MSEV.EXE
O4 - HKLM\..\RunServices: [MSBW32.EXE] C:\WINDOWS\SYSTEM\MSBW32.EXE
O4 - HKLM\..\RunServices: [IPPY.EXE] C:\WINDOWS\IPPY.EXE
O4 - HKLM\..\RunServices: [MSKK32.EXE] C:\WINDOWS\SYSTEM\MSKK32.EXE
O4 - HKLM\..\RunServices: [IECR.EXE] C:\WINDOWS\SYSTEM\IECR.EXE
O4 - HKLM\..\RunServices: [MFCHZ.EXE] C:\WINDOWS\MFCHZ.EXE
O4 - HKLM\..\RunServices: [IEPQ32.EXE] C:\WINDOWS\SYSTEM\IEPQ32.EXE
O4 - HKLM\..\RunServices: [D3JB.EXE] C:\WINDOWS\D3JB.EXE
O4 - HKLM\..\RunServices: [NTAG.EXE] C:\WINDOWS\SYSTEM\NTAG.EXE
O4 - HKLM\..\RunServices: [MFCPH.EXE] C:\WINDOWS\SYSTEM\MFCPH.EXE
O4 - HKLM\..\RunServices: [ADDVN.EXE] C:\WINDOWS\ADDVN.EXE
O4 - HKLM\..\RunServices: [SDKQS32.EXE] C:\WINDOWS\SYSTEM\SDKQS32.EXE
O4 - HKLM\..\RunServices: [IEQO32.EXE] C:\WINDOWS\IEQO32.EXE
O4 - HKLM\..\RunServices: [NTFW.EXE] C:\WINDOWS\NTFW.EXE
O4 - HKLM\..\RunServices: [JAVAZV.EXE] C:\WINDOWS\SYSTEM\JAVAZV.EXE
O4 - HKLM\..\RunServices: [APIJW.EXE] C:\WINDOWS\APIJW.EXE
O4 - HKLM\..\RunServices: [SYSFV32.EXE] C:\WINDOWS\SYSFV32.EXE
O4 - HKLM\..\RunServices: [D3TA32.EXE] C:\WINDOWS\D3TA32.EXE
O4 - HKLM\..\RunServices: [WINVV32.EXE] C:\WINDOWS\SYSTEM\WINVV32.EXE
O4 - HKLM\..\RunServices: [APPSZ.EXE] C:\WINDOWS\SYSTEM\APPSZ.EXE
O4 - HKLM\..\RunServices: [WINQK32.EXE] C:\WINDOWS\SYSTEM\WINQK32.EXE
O4 - HKLM\..\RunServices: [IEMC.EXE] C:\WINDOWS\IEMC.EXE
O4 - HKLM\..\RunServices: [MSNZ.EXE] C:\WINDOWS\MSNZ.EXE
O4 - HKCU\..\Run: [Pcas] C:\WINDOWS\Anwendungsdaten\ssrn.exe
O4 - HKCU\..\Run: [Jqrimgzd] C:\WINDOWS\SYSTEM\zbmnn.exe
O4 - Startup: Microsoft Office-Schnellstart.lnk = C:\MSOffice\Office\FASTBOOT.EXE
O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmcache.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmsimilar.html
O8 - Extra context menu item: Verweisseiten - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR1.DLL/cmbacklinks.html
O9 - Extra button: AIM - {AC9E2541-2814-11d5-BC6D-00B0D0A1DE45} - C:\PROGRAMME\AIM95\AIM.EXE
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://207.188.7.150/211764e5b0cb1cc...dxIE601_de.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6

Was muß ich jetzt machen?
Gruß
Klarser

Hallo
Anzahl der laufenden Malware-Prozesse, deinem Log nach, übersteigt die Anzahl der richtigen Prozesse deutlich.
Anders gesagt: die Operation "Fixen" = "Fix checked" ist für dich absolut irrelevant.

Zitat:

Was muß ich jetzt machen?

1. Vom Netz gehen
2. format c:\ . System neu aufsetzen
3. alle Passwörter wechseln.
4. System offline Updaten und nach http://faq.underflow.de/ absichern.

Hallo Klarser,

die rote einträge "fixen", d.h. sie werden deaktiviert. Danach musst man die dateien manuell löschen in abgesicherten modus.

bei den gelbe einträge halte ich mich zurück und überlasse es den profis hier im board.

gruß chaosman

@ Karser,

schließe mich Rene-gad an.

chaosman

Zitat:

Zitat von Rene-gad

Hallo
Anzahl der laufenden Malware-Prozesse, deinem Log nach, übersteigt die Anzahl der richtigen Prozesse deutlich.

Tut mir Leid Rene-gad
Aber diese Argument ist keins.
Bei "einem oder zwei " Prozesses müßte man dann nicht formatieren?

Gruß paff

Prinzipiell ist die Zahl der Prozesse egal, sobald es sich um Trojanische Pferde handelt, aber wenn davon mehrere am Werk sind, sinken die Chancen, mit Reparaturen anhand von HJT und Virenscannern ein sauberes System zu bekommen, noch weiter. Die Tofger-Trojaner, zu denen Infos erhältlich sind (zu dem aktuellen bisher leider nicht), sind ausnahmslos Keylogger mit Backdoor-Funktionen. Das genügt auf jeden Fall allein schon, um das System als kompromittiert zu betrachten.

Zitat:

Zitat von paff

Tut mir Leid Rene-gad

Muss nicht sein

Zitat:

Bei "einem oder zwei " Prozesses müßte man dann nicht formatieren?

Du hast mich falsch verstanden, bzw. ich habe mich falsch ausgedrückt. Ich hatte keine Lust , alle Einträge zu analysieren, einige davon hatten aber mich zu dem Gedanke gebracht, dass ohne format c:\ weiter nicht gehen kann.
Ehrlich gesagt, so 'ne Malware-Sammlung sieht man nicht jeden Tag.

Lange nicht gemeldet! Aber Danke noch mal für die Hilfe, Probleme sind inzwischen gelöst.
Gruß, Klarser

_________________
Meine Webseite ist wie ein Skulptur Projekt, einfach ne gute Benutzer Führung. Jede Menge Projekte unter: http://www.a-la-recherche.de.