Hallo, ich versuche es nun hier noch mal mit erhoffter Hilfe.
Habe schon eine Weile 2 Trojaner drauf...Einmal Trojan.Agent und Backdoor.bot.Bislang konnte nur Malwarebytes diese erkennen, aber sie tauchen natürlich nach dem löschen immer wieder auf.Gestern konnte Vista nicht mal mehr starten, als Fehlermeldung nach reparieren kam;ein Patch verhintert dies, ich nehm an, dass es der Trojaner ist????????Ich hoffe die Infon reichen aus??

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:54:04, on 27.01.2010
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18385)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Java\jre6\bin\jusched.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Users\saskia\Downloads\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prosieben.de/index.php?icqpath=icq
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [userinit] C:\Users\saskia\AppData\Roaming\sdra64.exe
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe
O13 - Gopher Prefix:
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://games.icq.com/online/online2/...ploader_v6.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)
O23 - Service: Google Update Service (gupdate1ca026221051141) (gupdate1ca026221051141) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

Warum wird hier einen denn nicht geholfen? Seit 10 Jahren=??!

Immer ganz ruhig bleiben Sandy das Kompetenzteam wird sicher bald antworten ich musste auch lange warten mit meinem Problem. Die melden sich schon bald bei dir!

was Du auf alle Fälle tun kannst um die Sache etwas zu beschleunigen ist, den Scanbericht von Malwarebytes zu posten, damit die Kompetenzler u.a. sehen können welche Dateien infiziert sind

Ok, ich warte, was bleibt mir auch übrig

Hab im Übrigen schon viele dergleichen Themen hier gefunden, nur nicht verstanden.also , ob mir wirklich geholfen werden kann????

Mit dem post von Malwarebytes biste schon gut dabei wenn du den postest und am besten nutze die links die cosinus bei mir gepostet hat mit rsti und malwarebytes. schau da mal vorbei und am besten schau dir die liste auch nochmal an!!!

Seltsamerweise scheint der Trojan.agent weg zu sein, aber 2 andere sind neu, kann mir aus den nichts nehmen...

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3608
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18882

27.01.2010 20:35:56
mbam-log-2010-01-27 (20-35-56).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 307393
Laufzeit: 43 minute(s), 6 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 1
Infizierte Registrierungswerte: 1
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Spyware.Passwords) -> Quarantined and deleted successfully.

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Users\saskia\AppData\Roaming\sdra64.exe (Spyware.Passwords) -> Quarantined and deleted successfully.

Zitat:

Zitat von Sandy77

Hallo, ich versuche es nun hier noch mal mit erhoffter Hilfe.
Habe schon eine Weile 2 Trojaner drauf...Einmal Trojan.Agent und Backdoor.bot.Bislang konnte nur Malwarebytes diese erkennen, aber sie tauchen natürlich nach dem löschen immer wieder auf.

Guten Abend,

nach einer Infektion ist es immer das sicherste und beste zu formatieren und neuaufzusetzen.
Lese dir dazu diese Links in Ruhe durch:
http://www.trojaner-board.de/75622-d...ittierung.html
http://www.trojaner-board.de/75455-b...mitierung.html
http://www.trojaner-board.de/51262-a...sicherung.html

Dein System hat weitere aktive Infektionen:

Zitat:

O4 - HKCU\..\Run: [userinit] C:\Users\saskia\AppData\Roaming\sdra64.exe

Durch ein sauberes Neuaufsetzen bekommst du wieder ein funktionierendes und vertrauenswürdiges System, es ist also die beste Lösung.

lg.

Das wollte ich aber vermeiden, sonst hätte ich es ja schon längst getan.

Den anderen konnte doch auch geholfen werden

Wie find ich dies denn, das ich sehen könnte was es ist, nicht das es sich in Sachen mit rein gehangen hat die ich dann wieder drauf legen will...bis roaming komm ich, aber wo find ich sdra.exe?

O4 - HKCU\..\Run: [userinit] C:\Users\saskia\AppData\Roaming\sdra64.exe

Auch wenn ich hier alleinunterhalter mache, aber ich habe gerade noch mal malware durchlaufen lassen und es wurde nichts gefunden!^^Wie kann das sein????????????Ich häng echt an dem Ding schon seit paar Wochen, hat es was mit den Explorer update zu tun?



Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3608
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18882

27.01.2010 22:56:20
mbam-log-2010-01-27 (22-56-20).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 307556
Laufzeit: 54 minute(s), 2 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

Update Malwarebytes und scanne nochmal

Datenbank Version: 3608
meins
Datenbank Version: 3647

TFCleaner
Download TFC.exe by OldTimer zum Desktop
Schliesse alle Fenster und doppelklick TFC.exe um das Programm zu starten
Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator"
Lasse Temp File Cleaner seine Arbeit tun
Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu


ComboFix © (by sUBs)
Download ComboFix © by sUBs und speichert es auf den Desktop!
Waehrend ComboFix runter geladen wird aendere Combofix um in cofi.exe und nicht nachher wenn CF schon auf dein Rechner steht



Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner
Schalte diese scanner dann aus und download ComboFix erneut

Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen
Starte combofix.exe
Note:Vista
Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten.
Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen.

Folge den Instruktionen in das Fenster
Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt
Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten
Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner
Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt)
nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen"
Befolge diese Anleitung

Malwarebytes' Anti-Malware 1.44
Datenbank Version: 3647
Windows 6.0.6001 Service Pack 1
Internet Explorer 8.0.6001.18882

28.01.2010 10:21:44
mbam-log-2010-01-28 (10-21-44).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 308115
Laufzeit: 47 minute(s), 50 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Den Rest muss ich noch machen.Schon einen Hinweis für mich , warum auf einmal der Scan sauber ist????Bin immer noch verplüfft
Wieso steht da eigentlich service Pack 1? Ich hatte die 2 installiert!?Kann das durch die Vista Reperatur wieder weg sein?

ja bei einer Reperaturinstallation wird das System wieder auf den Stand gebracht, der auf der Installations-CD ist. Du solltest das aktuellste Service Pack auf jeden Fall gleich wieder draufmachen

Eure Uhr geht irgendwie falsch!^^

Und wenn ich den Trojaner immer noch drauf habe und er wieder den Star von Windows verhindert? Ich denk es ist besser, wenn ich es wieder drauf mache, wenn der Pc wirklich sauber ist....Ist es zu empfehlen von Vista auf Xp umzustellen??

Wie kann ich dies denn auf den Tesktop speichern und umschreiben?Wenn ich den Link anklicke lädt es gleich in meine Downloads runder und von da installiert es ohne dass ich eingreifen könnte...