Guten Tag liebe Trojaner-Board-Gemeinschaft.
Ich habe mir gestern Mittag naiver weise ein Programm von einer recht unseriösen Website heruntergeladen und auch gleich installiert. Jedoch ist nach der Installation nichts passiert und das install-programm, welches sich vorher auf meinem Desktop befunden hat, ist zeitgleich mit der Beendigung der Installation verschwunden.

Ein Freund von mir, der sich gut mit soetwas auskennt meinte, dass es zu 99% ein Virus sei und ich nun meinen PC formatieren sollte.
In einem anderen Forum meinte jemand das man Trojaner erkennen kann indem man ein Proxyprogramm aufruft und dann schaut wer alles über den Proxy auf das internet zugreift. Gesagt getan (Bild1).

Seit diesem Vorfall öffnet sich zudem auch immer der Internetexplorer und möchte sich mit einer Internetseite verbinden, schaft es aber komischer Weise nich (2.Bild)

Meine Fragen sind nun: Handelt es sich nun tatsächlich um einen Trojaner?

Wie kann ich ihn am besten bekämpfen (habe schon Trojan Remover über meinen PC laufen lassen)?

Ist das formatieren des PCs echt unumgänglich, habe erst vor einem Monat den PC neu formatiert.....wäre echt beschi****......

Danke schonmal im Vorraus....

kennst du noch die seite und weist welchen download? sende mir diese info als private nachicht.
dann man ne frage, warum läd man etwas runter, wenn es nicht seriös ist, ich verstehe nicht warum menschen denken im internet ists anders als im "normalen" leben, was unseriös aussieht ists auch meistens.

ootl:
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

Wow danke für die schnelle Antwort und ja, ich weiß selber wie unglaublich naiv die Aktion war, aber in der Situation war ich einfach nur ziemlich genervt und wollte das Programm um jeden Preis zum laufen kriegen (das ist aber ne andere geschichte)

Hab die Textdatei angehangen. OTL war irgendwie zu groß, da hab ichs einfach geteilt. Hoffe ich habe deine Anleitung richtig befolgt und mir ist kein Fehler unterlaufen....

Mit besten Grüßen....

• Starte bitte die OTL.exe.
• Kopiere nun das Folgende in die Textbox.

:OTL
PRC - C:\Users\Zwonner\AppData\Local\Temp\Ktx.exe (Simon Tatham)
O4 - HKU\S-1-5-21-2076730734-4195884070-1356343282-1001..\Run: [forfeout] C:\Users\Zwonner\AppData\Local\Temp\msiesfc.DLL ()
O4 - HKU\S-1-5-21-2076730734-4195884070-1356343282-1001..\Run: [JCFSE7V7Z1] C:\Users\Zwonner\AppData\Local\Temp\Ktx.exe (Simon Tatham)
O4 - HKU\S-1-5-21-2076730734-4195884070-1356343282-1001..\Run: [Metropolis] C:\Users\Zwonner\AppData\Local\Temp\sshnas21.DLL (Simon Tatham)
:FILES
:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument dieses posten


öffne mein computer, c:\_OTL rechtsklick auf moved files und zu moved files.rar oder zip hinzufügen.
archiv zu uns hochladen.
http://www.trojaner-board.de/54791-a...ner-board.html

Archiv ist hochgeladen, hier ist die Textdatei:

All processes killed
========== OTL ==========
Unable to kill active process Ktx.exe!
Registry value HKEY_USERS\S-1-5-21-2076730734-4195884070-1356343282-1001\Software\Microsoft\Windows\CurrentVersion\Run\\forfeout deleted successfully.
C:\Users\Zwonner\AppData\Local\Temp\msiesfc.DLL moved successfully.
Registry value HKEY_USERS\S-1-5-21-2076730734-4195884070-1356343282-1001\Software\Microsoft\Windows\CurrentVersion\Run\\JCFSE7V7Z1 deleted successfully.
C:\Users\Zwonner\AppData\Local\Temp\Ktx.exe moved successfully.
Registry value HKEY_USERS\S-1-5-21-2076730734-4195884070-1356343282-1001\Software\Microsoft\Windows\CurrentVersion\Run\\Metropolis deleted successfully.
C:\Users\Zwonner\AppData\Local\Temp\sshnas21.DLL moved successfully.
========== FILES ==========
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default
->Flash cache emptied: 41620 bytes

User: Default User
->Flash cache emptied: 0 bytes

User: Public

User: Zwonner
->Flash cache emptied: 46458 bytes

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 0 bytes
->Flash cache emptied: 0 bytes

User: Public

User: Zwonner
->Temp folder emptied: 143364010 bytes
->Temporary Internet Files folder emptied: 50449277 bytes
->Java cache emptied: 0 bytes
->FireFox cache emptied: 112473058 bytes
->Google Chrome cache emptied: 16724190 bytes
->Flash cache emptied: 0 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 0 bytes
%systemroot%\System32 .tmp files removed: 0 bytes
%systemroot%\System32 (64bit) .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 4391263 bytes
%systemroot%\sysnative\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files folder emptied: 50434 bytes
RecycleBin emptied: 14003614 bytes

Total Files Cleaned = 326,00 mb


OTL by OldTimer - Version 3.2.14.1 log created on 10042010_184438

Files\Folders moved on Reboot...
C:\Users\Zwonner\AppData\Local\Temp\FXSAPIDebugLogFile.txt moved successfully.

Registry entries deleted on Reboot...

ich sehe in der hosts datei hinweise auf gecrackte programme, da wir sowas hier nicht unterstützen, da illegal, kann ich dir nur noch beim neu aufsetzen helfen

Alles klar, kann ich nachvollziehen. Mein Sohn hat mir mal Photoshop und 2 weitere Programme auf meinem rechner installiert und anscheinend gecracked.

naja das Problem mit dem Trojaner hat sich zum Glück erledigt. Hab aus spaß einfach mal ne schnellsuche mit "Malwarebytes' Anti-Malware" gemacht und da hat er den gefunden, und zudem noch 2 andere Geschichten.

Danke dir aber für deine Mühe mir bei meinem Problem geholfen zu haben.....

Mit besten Grüßen

dieses teil scheint ein passwort stealer zu sein, ich wäre mir also nicht so sicher das alles klar ist.

Bin mir fast sicher das er nicht mehr da ist.
Hab den Trick mit dem Proxy ausprobiert und da war nichts mehr zu sehn. Auch das Öffnen des Internetexplorers ist nun kein Problem mehr.

Trotzdem danke für deine Besorgnis

ja, fast ist aber kein ganz sicher. du musst das selbst wissen, aber ohne eine weitere prüfung, die ich nicht durchführen kann, kannst du dir nie sicher sein, und je nach dem was für daten du eingibst, online banking etc. könnte immer jemand mit lesen.
heißt ja nicht das ein beständiger datenverkehr vor herscht sondern nur zu bestimmten zeiten, oder wenn du bestimmte aktionen ausführst etc.