| |
| |||||||
Plagegeister aller Art und deren Bekämpfung: Trojaner in AppData\RoamingWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
 |
01.07.2010, 20:11
| #1 |
| |  Trojaner in AppData\Roaming Hi zusammen, Antivir hat einen Trojaner gefunden: Code:
ATTFilter In der Datei 'C:\...\AppData\Roaming\Dutue\fydaz.exe'
wurde ein Virus oder unerwünschtes Programm 'TR/PSW.Zbot.133169.Y' [trojan] gefunden.
Der Vorschlag von Antivir "Zugriff verweigern" hilft nicht, da die Meldung immer wieder auftaucht. Ich hab dann CCleaner ausgeführt und wollte dann Malwarebytes starten. Beim Scannen stürzt das Programm jedoch ab, und die Antivir-Meldung von oben popt auf. Deshalb hier noch ein Hijackthis-logfile: HiJackthis Logfile: Code:
ATTFilter Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 20:53:59, on 01.07.2010 Platform: Windows 7 (WinNT 6.00.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\windows\system32\taskhost.exe C:\windows\system32\taskeng.exe C:\windows\system32\Dwm.exe C:\windows\Explorer.EXE C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Avira\AntiVir Desktop\avgnt.exe C:\Windows\System32\igfxtray.exe C:\Windows\System32\hkcmd.exe C:\Windows\System32\igfxpers.exe C:\Windows\System32\ico.exe C:\Program Files\Common Files\Java\Java Update\jusched.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Windows\System32\FSRremoS.EXE C:\windows\system32\igfxsrvc.exe C:\windows\system32\igfxext.exe C:\Windows\System32\Pelmiced.exe C:\windows\system32\igfxsrvc.exe C:\Program Files\Synaptics\SynTP\SynTPHelper.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe C:\Program Files\WIDCOMM\Bluetooth Software\BtStackServer.exe C:\PROGRA~1\samsung\SAMSUN~4\SUPNOT~1.EXE C:\Program Files\CCleaner\ccleaner.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\windows\system32\NOTEPAD.EXE C:\Users\...\Downloads\HiJackThis204.exe C:\windows\system32\SearchFilterHost.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file) O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [RtHDVCpl] C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe O4 - HKLM\..\Run: [SynTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [UCam_Menu] "C:\Program Files\CyberLink\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Program Files\CyberLink\YouCam" UpdateWithCreateOnce "Software\CyberLink\YouCam\2.0" O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir Desktop\avgnt.exe" /min O4 - HKLM\..\Run: [IgfxTray] C:\windows\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\windows\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\windows\system32\igfxpers.exe O4 - HKLM\..\Run: [Mouse Suite 98 Daemon] ICO.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes\mbamgui.exe /install /silent O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [{A5F85ABB-01C4-428A-9B0F-E7DDA7F42751}] C:\Users\...\AppData\Roaming\Dutue\fydaz.exe O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - .DEFAULT User Startup: ylre.exe (User 'Default user') O4 - Global Startup: Bluetooth.lnk = ? O8 - Extra context menu item: Bild an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Seite an &Bluetooth-Gerät senden... - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: In Windows Live Writer in Blog veröffentliche&n - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @C:\Program Files\WIDCOMM\Bluetooth Software\btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\WIDCOMM\Bluetooth Software\btsendto_ie.htm O17 - HKLM\System\CCS\Services\Tcpip\..\{01677D5D-AADB-4B17-835F-C79B4052D3D7}: NameServer = 134.60.1.111,134.60.111.111 O17 - HKLM\System\CS1\Services\Tcpip\..\{01677D5D-AADB-4B17-835F-C79B4052D3D7}: NameServer = 134.60.1.111,134.60.111.111 O17 - HKLM\System\CS2\Services\Tcpip\..\{01677D5D-AADB-4B17-835F-C79B4052D3D7}: NameServer = 134.60.1.111,134.60.111.111 O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\sched.exe O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir Desktop\avguard.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe O23 - Service: Rezip - Unknown owner - C:\windows\SYSTEM32\Rezip.exe -- End of file - 6875 bytes Das ist das erste Mal dass ich hier poste, bitte sagt mir wenn irgendwas fehlt oder ich was falsch mache. Danke für eure Hilfe! Geändert von moimoi (01.07.2010 um 20:44 Uhr) |
|
01.07.2010, 21:34
| #2 |
| /// Winkelfunktion /// TB-Süch-Tiger™   | Trojaner in AppData\Roaming Hallo,
__________________probier das mal so aus mit Malwarebytes => http://www.trojaner-board.de/82699-m...tet-nicht.html
__________________ |
|
01.07.2010, 22:37
| #3 |
| | Trojaner in AppData\Roaming Hi,
__________________Umbennenn hab ich schon versucht, bringt nichts. Hab auch OTHelper ausprobiert, aber das Problem bleibt das gleiche: mitten im Scan kommt die Fundmeldung von Antivir und Malwarebytes ist nicht mehr ansprechbar... |
|
01.07.2010, 23:13
| #4 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner in AppData\Roaming Dann bitte vor dem Scan mit Malwarebytes AntiVir deaktivieren (Regenschirm schließen)
__________________ Logfiles bitte immer in CODE-Tags posten  |
|
01.07.2010, 23:15
| #5 |
| | Trojaner in AppData\Roaming nu ja, hab ich mir auch schon überlegt, aber ist das nicht gefährlich?! |
|
01.07.2010, 23:21
| #6 |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner in AppData\Roaming Was soll daran gefährlich sein? Schädlinge fliegen nicht von allein auf den Rechner!! Naja, aber ich weiß, dass die Medien ganze Arbeit geleistet haben und fast alle glauben, dass es ohne Virenscanner nicht geht  Nein, Sicherheit fängt woanders an => Malte J. Wetz : De - Kompromittierung Unvermeidbar browse
__________________ --> Trojaner in AppData\Roaming |
|
01.07.2010, 23:37
| #7 |
| | Trojaner in AppData\Roaming hi, woher solche Schädlinge kommen ist mir schon klar Die Frage mit der Gefährlichkeit hatte ich eher auf was anderes bezogen: Wenn ich einen Schädling auf meinem Rechner hab, den Antivir findet und blockiert, was passiert dann wenn ich Antivir deaktiviere?! ...habs dann so gemacht, Malwarebyte hat nix gefunden (quickscan), obwohl das infizierte Verzeichnis durchsucht wurde. Das Programm ist aktuell. Werd morgen nochmal einen vollständigen Suchlauf starten, aber finds trotzdem komisch, dass nichts gefunden wurde. danke schonmal aja, der Vollständigkeit halber noch das logfile: Code:
ATTFilter Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org
Datenbank Version: 4265
Windows 6.1.7600
Internet Explorer 8.0.7600.16385
02.07.2010 00:33:16
mbam-log-2010-07-02 (00-33-16).txt
Art des Suchlaufs: Quick-Scan
Durchsuchte Objekte: 124083
Laufzeit: 10 Minute(n), 11 Sekunde(n)
Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0
Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)
Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)
Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)
Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)
Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)
Infizierte Dateien:
(Keine bösartigen Objekte gefunden)
|
|
01.07.2010, 23:47
| #8 | |
| /// Winkelfunktion /// TB-Süch-Tiger™ | Trojaner in AppData\RoamingZitat:
Ein Virenscanner allein reicht niemals für eine Bereinigung, eine Garantie auf ein sauberes System hast Du nur bei format c:
__________________ Logfiles bitte immer in CODE-Tags posten |
|
| Themen zu Trojaner in AppData\Roaming |
| adobe, antivir guard, avg, avira, bho, desktop, erste mal, explorer, firefox, hijack, ics, internet, internet explorer, malwarebytes, malwarebytes' anti-malware, micro, microsoft, mozilla, plug-in, programm, realtek, rojaner gefunden, scan, software, system, tr/psw.zbot., trojaner, trojaner gefunden, virus, windows |
Linear-Darstellung
