Hallo, ich habe den Verdacht dass ich einen trojaner auf meinem system habe.
mit gängen programmen wie adaware, CWShredder und spybot s&d bekomme ich aber keine fehlermeldungen.
das durchsuchen der reg ist auch auch negativ, aber ich kenne mich nicht gut aus.
mir trojan check bekomme ich aber eine komische anzeige (bild: TC.jpg).
ich habe noch ein paar andere screenshots gemacht, ebenso hab ich mein HijackThis logfile gespeichert.
die logs und screens liegen bei den yahoo briefacses unter: http://briefcase.yahoo.com/
yahooID ist: trojanerverdacht
passwort: 123456

falls ich noch etwas vergessen habe, stelle ich es gerne noch on.
hoffe es kann mir jemand helfen.
grüße Viper

hmm...scheinbar ist dort nur für yahoo-mitglieder zugriff...tut mir leid...

You are not signed in. You need a Yahoo! ID to use Yahoo! Briefcase.

gruss
rock

habs grade testen lassen. bei nem kumpel gehts...

ID: trojanerverdacht
PW: 123456

cu Viperman

tut mir leid, geht nacher auch nicht:

If you do not verify your alternate email address now, you will be prompted again the next time you sign in to Yahoo!.

ich bin zu doof das ich da hinkomm...

tschüss
rock

doch du bist genau richtig....
bei dem email-verify einfach auch "do it later" klicken.
und dann auf your briefcase address: http: ... klicken. dann bist du drin

jetzt sollte es klappen. thx schon mal

also ich kanns sehn ...
da die art wie dus hochgeladen hast aber anscheind nich bei allen geht werd ich einfach mal dein log hier rein posten :


Logfile of HijackThis v1.97.7
Scan saved at 09:39:08, on 12.06.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\ZoneAlarm\zapro.exe
C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsmnt.exe
C:\Programme\Acrobat 6.0\Distillr\acrotray.exe
C:\WINDOWS\System32\ZoneLabs\vsmon.exe
C:\WINDOWS\System32\ZoneLabs\MINILOG.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\FastTrak\FtrakSvc.exe
C:\Programme\Norton SystemWorks\Norton Utilities\NPROTECT.EXE
C:\PROGRA~1\NORTON~2\SPEEDD~1\nopdb.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\DC++\DCPlusPlus.exe
C:\WINDOWS\System32\svchost.exe
L:\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///g:/start2.htm
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,AutoConfigURL = http://pac.uni-karlsruhe.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = atsv-bierjunge:3128
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: (no name) - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Acrobat 6.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - Startup: PowerReg Scheduler.exe
O4 - Global Startup: ZoneAlarm Pro.lnk = C:\Programme\ZoneAlarm\zapro.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: CleanSweep Smart Sweep-Internet Sweep.lnk = C:\Programme\Norton SystemWorks\Norton CleanSweep\csinsmnt.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Acrobat 6.0\Distillr\acrotray.exe
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Backward &Links - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Cac&hed Snapshot of Page - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Si&milar Pages - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra 'Tools' menuitem: Sun Java Konsole (HKLM)
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: Yahoo! Messenger (HKLM)
O9 - Extra 'Tools' menuitem: Yahoo! Messenger (HKLM)
O12 - Plugin for .csm: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .csml: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cub: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .cube: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .de/ch/11/aac/vorlesung/kap_5/kap5_11/grafik/i2: C:\Programme\Internet Explorer\PLUGINS\npchime.dll
O12 - Plugin for .de/ch/11/aac/vorlesung/kap_5/kap5_9/kap59_2/grafik/caf2_1: C:\Programme\Internet Explorer\PLUGINS\npchime.dll
O12 - Plugin for .dx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .emb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .embl: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .gau: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .jdx: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mol: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mop: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll
O12 - Plugin for .pdb: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .rxn: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .scr: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .skc: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .spt: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .tgf: C:\Programme\Internet Explorer\Plugins\npchime.dll
O12 - Plugin for .xyz: C:\Programme\Internet Explorer\Plugins\npchime.dll
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://download.yahoo.com/dl/installs/yinst0309.cab
O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) -
O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.co...109.4055555556
O16 - DPF: {CAFEEFAC-0014-0000-0000-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0) -
O16 - DPF: {CAFEEFAC-0014-0001-0002-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_02) -
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3612682E-30FA-4253-BD65-6E2FE88E1788}: NameServer = 129.13.64.5,129.13.96.2
O17 - HKLM\System\CS1\Services\Tcpip\..\{3612682E-30FA-4253-BD65-6E2FE88E1788}: NameServer = 129.13.64.5,129.13.96.2


die sachen sind mir aufgefallen:

</font><blockquote>Zitat:</font><hr /> C:\Programme\FastTrak\FtrakSvc.exe </font>[/QUOTE] </font><blockquote>Zitat:</font><hr /> C:\Programme\DC++\DCPlusPlus.exe</font>[/QUOTE] </font><blockquote>Zitat:</font><hr />R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///g:/start2.htm </font>[/QUOTE] </font><blockquote>Zitat:</font><hr /> O3 - Toolbar: (no name) - {BA52B914-B692-46c4-B683-905236F6F655} - (no file) </font>[/QUOTE]der erste ist relativ sicher nicht gewollt
zu den anderen hab ich mich nun nicht wirklich kundig gemacht. Evtl weisst du ja noch n bissl was dazu

vielen dank olo !

- fasttrak ist ein tool für mein raid system
- DC++ ein p2p programm
- R0 ...start2.htm ist meine eigene startseite
- O3 Toolbar... sagt mir jetzt auch nichts muss ich mal checken.

weisst du evtl etwas zu der komischen WTì[] Anzeige bei trojancheck ?

thx, Viperman

</font><blockquote>Zitat:</font><hr /> weisst du evtl etwas zu der komischen WTì[] Anzeige bei trojancheck ? </font>[/QUOTE]Leider nein..
Ich kenn trojan check allerdings auch nicht
such doch mal nach dieser datei WTI
oder schau mal mit anderen prozessviewern ob du diesen prozess irgendwie entdecken kannst

evtl kennt dr.google ja noch was hab noch nicht geschaut

</font><blockquote>Zitat:</font><hr /> - O3 Toolbar... sagt mir jetzt auch nichts muss ich mal checken.</font>[/QUOTE]schon deinstalliert so wie das aussieht
solltest du problemlos einfach fixen können

nachtrag:

</font><blockquote>Zitat:</font><hr /> Hallo, ich habe den Verdacht dass ich einen trojaner auf meinem system habe. </font>[/QUOTE]ist dein einziger verdacht dieser eine prozess??
oder wie kommst du zu diesem verdacht?

wo ist der WTI ? eintrag???

ich bin blind?!?!

gruss
rock

der beitrag WTì[] is im file TC. wird also im trojan check angezeigt.
das seltsame ist, dass ich den prozess nicht beenden kann und wenn ich es versuche erscheint stattdessen im trojancheck eine seltsame anzeige wie zB: Wýýýýýýý[].... oder so ähnlich
das macht schon etwas unruhig.