|
Plagegeister aller Art und deren Bekämpfung: ich denk mal habe Trojaner!?!? Bitte um Hilfe !Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.11.2004, 02:46 | #1 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! Erst mal Servus, ich fange mal an zu erzählen... Habe vor drei tagen meinen rechner neu installiert, weil er davor ständig hängen geblieben ist.. Laut norton war nichts zu finden... Nach der Installation, wo ich mit alles fertig war, und wieder nicht mal 10 min. online war, ist mein rechner wieder hängen geblieben.. Und zwar so schlimm, dass ich den kabel von der steckdose ziehen musste, da hatt sich nichts mehr gerührt gehabt.. Bei der zweiten Start, habe ich gleich bei der task-manager nachgeschaut, es waren die drei *.exe dateien die mir aufgefallen sind.. xdcc.exe, ksgkqy.exe, sysbkup.exe meine suche mit Google hat ergeben, dass es sich hier um trojaner handelt.. Dann habe ich halt irgendwie diesen forum gefunden, bisschen nachgelesen, mir den e Scan runtergeladen, mein rechner gescant--> ergebnis: 39 dateien mit Trojanern, Würmer, Virus u.s.w. Unter "Virus Log Information" bei e Scan, konnte ich lesen in welchem ordner die sich befunden haben, und habe *ALLE* weg gelöscht.. Jetzt sollte alles wieder in ordnung sein.. Aber ist nicht.. Bei dem zweiten scan (mit e Scan) hat er nur die sachen gefunden.. ich weiss nicht ob die bösartig sind: File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. (wurde drei mal gefunden) File C:\WINDOWS\ml-uninstall-v10.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. (wurde zwei mal gefunden) File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. Und jetzt grad eben, vor 10 sek. hatte ne meldung von "AntiVirKit Wächter" Es wurde versucht auf eien infizierte Dateizuzugreifen. Datei : .pif Verzeichnis: C:\WINDOWS\system32 Engine: BD-Engine Virus: Backdoor.BotGet.FtpB.Gen Wenn ich die Datei löschen will, kommt ne kleine Fenster mit dem Text: Die Datei existiert nicht mehr und dann muss ich nur Ok drücken.. Jetzt vorhin ist der zweite gekommen... ist das schlimm?? Naja, so viel von meiner Seite.. Hoffe dass mir einer Helfen kann, und Sorry dass ich so lang geschrieben habe... Servus.. Greko.. |
07.11.2004, 02:59 | #2 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! Hier habt iht noch diesen Hijack This Log File:
__________________Logfile of HijackThis v1.98.2 Scan saved at 02:57:07, on 07.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE C:\WINDOWS\System32\wuauclt.exe C:\WINDOWS\system32\ntvdm.exe C:\T-ONLINE\BSW4\ToDuCAlC.EXE c:\t-online\browser\browser.exe C:\Dokumente und Einstellungen\Cesur\Eigene Dateien\My eBooks\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Firewall.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com O17 - HKLM\System\CCS\Services\Tcpip\..\{A9F69903-EC82-42C0-B365-85E22387AF4E}: NameServer = 217.237.151.97 217.237.150.33 |
07.11.2004, 04:38 | #3 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! Hallo Greko,
__________________ich kann Dir keine angenehme Nachricht überbringen. Es ist ziemlich schlimm. Eine Beschreibung des Backdoor.BotGet.Ftp zeigt, dass er zur SDBot-Familie gehört. Sollte Dein Rechner mit anderen Rechnern in einer LAN-Verbindung stehen, ist davon auszugehen, dass die anderen Systeme ebenfalls infiziert sind. Für diesen Backdoor gilt die Beschreibung von Backdoor.SdBot.gen und Backdoor.Agobot.3.gen analog. Beachte hier auch die "Erläuterung". Der Wurm ermöglicht Dritten den Fernzugriff auf Deinen Rechner. Du musst davon ausgehen, dass alle vertraulichen Informationen, Passworte ect. ausspioniert werden. Dein Rechner ist kompromittiert. Es gibt für Laaien keine andere Möglichkeit als den Rechner schnellst möglich aus dem Netz zu nehmen, neu zu formatieren und neuaufzusetzen. Bei Backdoor-Trojanern genügt einfaches Löschen nicht, da sie sich mit verschiedenen Schlüsseln in die Registry eingraben und Code auf dem Gesamt-System hinterlassen. Lies Dir diese Anleitungen durch, damit Dir weiteres Formatieren Deines Rechners erspart bleibt: - Lutz: Datensicherung - Cidre: ein umfassender Rat - Festplatte Formatieren - Schritt für Schritt - Schutzmaßnahmen: www.trojaner-info.de SD Geändert von Shadowdance (07.11.2004 um 04:47 Uhr) Grund: Korrektur |
07.11.2004, 04:56 | #4 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! Ach, du sch.....!! mein rechner ist jetzt schrott oder was?? Denn ich habe es heute neu installiert gehabt zum 3.mal.. Aber habe den sch...., immer noch.. ich versuche es dann morgen nochmal.. Naja, was soll ich sagen, pech gehabt.. trotzdem danke schön.. |
07.11.2004, 05:08 | #5 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! @ Greko, tut mir leid für Dich. Lies die Tips durch, insbesondere den Rat von Cidre, mach es gründlich und richtig und erspare Dir diese Arbeit in Zukunft ... SD |
09.11.2004, 14:48 | #6 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! Habe jetzt meinen rechner formatiert.. und habe gleich mit eScan durchsucht.. Es waren nur folgende sachen zu findne.. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\ml-uninstall-v10.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. File C:\WINDOWS\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. ich weiss jetzt nur nicht ob die überhaupt Virus sind... |
09.11.2004, 14:49 | #7 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! Und nochmal diesen HiJack This Log File.. Logfile of HijackThis v1.98.2 Scan saved at 14:18:51, on 09.11.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKService.exe C:\Programme\AntiVirenKit InternetSecurity\AVK\AVKWCtl.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\LTSMMSG.exe C:\WINDOWS\htpatch.exe C:\WINDOWS\System32\ezSP_Px.exe C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE C:\Programme\AntiVirenKit InternetSecurity\Firewall\kavpf.exe C:\Programme\Sony\VAIO Action Setup\VAServ.exe C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe C:\PROGRA~1\ANTIVI~1\WEBFIL~1\ADSCLE~1.EXE C:\Dokumente und Einstellungen\Cesur\Eigene Dateien\My eBooks\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.club-vaio.sony-europe.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/ O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: SIPAKBHO Class - {40FB69E1-9B7B-453F-B238-37D8E9528929} - C:\Programme\AntiVirenKit InternetSecurity\Webfilter\PAKIEPlugins.dll O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: WebFilter-Leiste - {75CD0BC5-E317-449C-9FF6-4986B3D48F64} - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\PAKIEGUI.dll O4 - HKLM\..\Run: [LTSMMSG] LTSMMSG.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\System32\ezSP_Px.exe O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [AVK Mail Checker] "C:\Programme\Gemeinsame Dateien\G DATA\AVKMail\AVKPOP.EXE" O4 - Global Startup: Adobe Gamma Loader.lnk = ? O4 - Global Startup: Firewall.lnk = ? O4 - Global Startup: VAIO Action Setup (Server).lnk = ? O4 - Global Startup: Webfilter.lnk = C:\Programme\AntiVirenKit InternetSecurity\Webfilter\Webfilter.exe O8 - Extra context menu item: Add selected links to Link Container - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_collector_sel.htm O8 - Extra context menu item: Show domain links - C:\PROGRA~1\ANTIVI~1\WEBFIL~1\System\Scripts\off_domain_links.htm O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/ O15 - Trusted Zone: *.sony-europe.com O15 - Trusted Zone: *.sonystyle-europe.com O15 - Trusted Zone: *.vaio-link.com |
09.11.2004, 19:28 | #8 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! hmm... dein log ist clean laut www.hijackthis.de ist doch schonmal was... :aplaus: File C:\Drivers\SiSChipsetDriver\AGP\htpatch\htpatch.exe tagged as not-a-virus:Tool.Win32.HTPatch.a. No Action Taken. das ist irgendwas von deiner grafikkarte also nichts schlimmes der rest... sry kp |
09.11.2004, 21:17 | #9 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! @Greko ich würde mal vorsichtig sein, wechsle in den abgesicherten modus und fixe,Häkchen setzen und auf Fix Checked klicken) O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm diese datei manuell löschen C:\WINDOWS\web\related.htm die folgende 2einträge sind wahrscheinlich nicht sauber bei dieser hier ist die funktion undeutlich O2 - BHO: Poly HTML Filter BHO - {0140DF95-9128-4053-AE72-F43F0CFCA062} - C:\WINDOWS\system32\SiKernel.dll und dieser hier steht unter verdacht O2 - BHO: Offliner AdFilter Helper - {DC9377A2-2E8D-44A1-99DB-F8A821DF254D} - C:\WINDOWS\system32\SiPlugins.dll kannst du diese datein zuordnen? wenn es ein programm ist das du kennst, dann dürfte es in ordnung sein. wenn du das programm nicht kennst, zur Not googeln, dann manuell in den abgesicherten modus löschen chaosman
__________________ Bonus vir semper tiro |
11.11.2004, 14:45 | #10 |
| ich denk mal habe Trojaner!?!? Bitte um Hilfe ! Hallo nochmal, nach dem ich die dateien gefixt habe, und wieder online war.. geht jetzt mein t-online browser nicht mehr.. habe jedesmal die meldung "aktion abgebrochen" oder "die seite kann nicht angeziegt werden" Woher kommt denn das? was muss ich noch ändern.. Bitte nochmal um Hilfe! Servus.. Greko.. EDIT: Laut T-Online servise ist alles in ordnung.. Dort ist kein fehler zu sehen.. |
11.11.2004, 20:22 | #11 |
Administrator, a.D. | ich denk mal habe Trojaner!?!? Bitte um Hilfe ! |
Themen zu ich denk mal habe Trojaner!?!? Bitte um Hilfe ! |
.exe, bitte um hilfe, dateien, drivers, ergebnis, file, forum, gefunden.., google, handel, helfen, hilfe, hängen, infizierte, installation, log, löschen, neu, norton, not-a-virus, online, ordner, rechner, scan, schlimm?, start, suche, system, task-manager, trojaner, virus, windows |