Guten Tag,

also als ich heute im I-net surfte, wurde ich (ich weiß nicht warum) auf eine Seite weitergeleitet. Auf einmal wurde JAVA gestartet und der Taskmanager sah irgendwie komisch aus. So habe ich einfach den Stecker gezogen und wieder angemacht. Kaspersky hat einen Trojaner (namen weiß ich net) gefunden und angeblich entfernt.
So jedesmal wenn ich ein Programm beende, kommt die Fehlermeldung, dass der prozess "xyz" beendet werden musste. ich habe auch versucht avira zu installieren, die ganzen prozesse von avira wurden aber immer beendet (immer mit der fehlermeldung von windows) .
könnt ihr mir bitte helfen?
zumal ich nicht viel Ahnung von PCs habe.

Mit freundlichen Grüßen Kola
HiJackthis Logfile:

Code: Alles auswählenAufklappen

ATTFilter

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 16:07:13, on 19.03.2011
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\explorer.exe
C:\Dokumente und Einstellungen\Mehti\Desktop\FirefoxPortable\FirefoxPortable.exe
C:\Dokumente und Einstellungen\Mehti\Desktop\FirefoxPortable\App\firefox\firefox.exe
C:\Dokumente und Einstellungen\Mehti\Desktop\FirefoxPortable\App\firefox\plugin-container.exe
C:\Dokumente und Einstellungen\Mehti\Desktop\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: facemoods Helper - {64182481-4F71-486b-A045-B233BD0DA8FC} - C:\Programme\facemoods.com\facemoods\1.4.17.3\bh\facemoods.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: facemoods Toolbar - {DB4E9724-F518-4dfd-9C7C-78B52103CAB9} - C:\Programme\facemoods.com\facemoods\1.4.17.3\facemoodsTlbr.dll
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Treecrt] C:\Dokumente und Einstellungen\Mehti\Anwendungsdaten\Twaintree\msfree.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\AppleMobileDeviceService.exe
O24 - Desktop Component 0: (no name) - hxxp://upload.wikimedia.org/fundraising/2006/meter.png

--
End of file - 3138 bytes
         

--- --- ---

aloadas liegt unteranderem daran das du kaum updates zu instalieren scheinst, da muss man sich nicht wundern :-(
Systemscan mit OTL
download otl:
http://filepony.de/download-otl/

Doppelklick auf die OTL.exe
(user von Windows 7 und Vista: Rechtsklick als Administrator ausführen)
1. Oben findest Du ein Kästchen mit Output. Wähle bitte Minimal Output
2. Hake an "scan all users"
3. Unter "Extra Registry wähle:
"Use Safelist" "LOP Check" "Purity Check"
4. Kopiere in die Textbox:
netsvcs
msconfig
safebootminimal
safebootnetwork
activex
drivers32
%ALLUSERSPROFILE%\Application Data\*.
%ALLUSERSPROFILE%\Application Data\*.exe /s
%APPDATA%\*.
%APPDATA%\*.exe /s
%SYSTEMDRIVE%\*.exe
/md5start
userinit.exe
eventlog.dll
scecli.dll
netlogon.dll
cngaudit.dll
ws2ifsl.sys
sceclt.dll
ntelogon.dll
winlogon.exe
logevent.dll
user32.DLL
explorer.exe
iaStor.sys
nvstor.sys
atapi.sys
IdeChnDr.sys
viasraid.sys
AGP440.sys
vaxscsi.sys
nvatabus.sys
viamraid.sys
nvata.sys
nvgts.sys
iastorv.sys
ViPrt.sys
eNetHook.dll
ahcix86.sys
KR10N.sys
nvstor32.sys
ahcix86s.sys
/md5stop
%systemroot%\system32\drivers\*.sys /lockedfiles
%systemroot%\System32\config\*.sav
%systemroot%\*. /mp /s
%systemroot%\system32\*.dll /lockedfiles
CREATERESTOREPOINT
5. Klicke "Scan"
6. 2 reporte werden erstellt:
OTL.Txt
Extras.Txt
beide posten

okay hier die Extrat.txt, aber OTL.txt will der nicht hochladen, weil zu groß.
was soll ich tun?

wie wäre es mit teilen, oder packen? :-)

ja stimmt, hehe. dumm von mir

na passt schon :-)

• Starte bitte die OTL.exe
• Kopiere nun das Folgende in die Textbox.

:OTL
:Files
WINDOWS\system32\config\systemprofile\Anwendungsdaten\Twaintree
C:\Dokumente und Einstellungen\Mehti\Anwendungsdaten\Twaintree

:Commands
[purity]
[EMPTYFLASH]
[emptytemp]
[Reboot]

• Schliesse bitte nun alle Programme.
• Klicke nun bitte auf den Fix Button.
• OTL kann gegebenfalls einen Neustart verlangen. Bitte dies zulassen.
• Nach dem Neustart findest Du ein Textdokument, dessen inhalt in deiner nächsten antwort hier reinkopieren.

öffne arbeitsplatz, öffne C: dann _OTL
dort rechtsklick auf moved files
wähle zu moved files.rar oder zip hinzufügen.
lade das archiv in unserem upload channel hoch.
http://www.trojaner-board.de/54791-a...ner-board.html

okay hier die meldung (datei habe ich schon im channel hochgeladen):

All processes killed
========== OTL ==========
========== FILES ==========
File\Folder WINDOWS\system32\config\systemprofile\Anwendungsdaten\Twaintree not found.
C:\Dokumente und Einstellungen\Mehti\Anwendungsdaten\Twaintree folder moved successfully.
========== COMMANDS ==========

[EMPTYFLASH]

User: All Users

User: Default User

User: LocalService

User: Mehti
->Flash cache emptied: 241956 bytes

User: NetworkService

Total Flash Files Cleaned = 0,00 mb


[EMPTYTEMP]

User: All Users

User: Default User
->Temp folder emptied: 0 bytes
->Temporary Internet Files folder emptied: 33170 bytes

User: LocalService
->Temp folder emptied: 65984 bytes
->Temporary Internet Files folder emptied: 49286 bytes

User: Mehti
->Temp folder emptied: 127920990 bytes
->Temporary Internet Files folder emptied: 4920084 bytes
->Java cache emptied: 11298782 bytes
->Flash cache emptied: 0 bytes

User: NetworkService
->Temp folder emptied: 49600 bytes
->Temporary Internet Files folder emptied: 52210 bytes

%systemdrive% .tmp files removed: 0 bytes
%systemroot% .tmp files removed: 1119339 bytes
%systemroot%\System32 .tmp files removed: 2951 bytes
%systemroot%\System32\dllcache .tmp files removed: 0 bytes
%systemroot%\System32\drivers .tmp files removed: 0 bytes
Windows Temp folder emptied: 163198 bytes
RecycleBin emptied: 1948718257 bytes

Total Files Cleaned = 1.997,00 mb


OTL by OldTimer - Version 3.2.22.3 log created on 03192011_174440

Files\Folders moved on Reboot...

Registry entries deleted on Reboot...

danke hat geklappt.
machst du onlinebanking /einkäufe oder sonst was wichtiges mit dem pc?

onlinebanking nicht, einkäufe werden per überweisung gemacht...
also ich arbeite ja mit dem pc, wichtig ist er schon :-)

du hast nen trojaner drauf, der es auf alle möglichen daten abgesehen hatt.
wir können nicht 100 %ig garantieren das wir das system sauber bekommen.
dies wäre aber logischerweise nötig.
deswegen:
daten sichern und formatieren.
ich erkläre wie das system in zukunft richtig abzusichern ist, denn eine solche infektion ist vermeidbar mit einfachen mitteln.

okay, das werde ich tun, aber da ich nicht alleiniger benutzer bin, wird das noch ein bisschen dauern.
aber ich habe da noch ein paar fragen:
1) ist der trojaner jetzt weg oder hast du nur das alles analysiert?
2)wo gibt es deine tipps zu lesen?
3)da ich nicht die öglichkeit habe sofort zu formatieren, ist es möglich das system noch tiefgreifender zu analysieren, um zu sehen, ob da noch etwas ist?

Vielen Dank erstmal, du hast mir sehr geholfen!

der trojaner ist noch nicht vollständig weg.
die möglichkeit zu analysieren gibts, aber damit ist immernoch nicht garantiert das er wirklich weg ist.
download malwarebytes:
Malwarebytes
instalieren, öffnen, registerkarte aktualisierung, programm updaten.
schalte alle laufenden programme ab, trenne die internetverbindung.
registerkarte scanner, komplett scan, funde entfernen, log posten.


zu den tipps kommen wir wenn die daten gesichert sind und du formatierst.

hier log-file:

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Datenbank Version: 6107

Windows 5.1.2600 Service Pack 2
Internet Explorer 6.0.2900.2180

19.03.2011 19:37:54
mbam-log-2011-03-19 (19-37-46).txt

Art des Suchlaufs: Vollständiger Suchlauf (C:\|)
Durchsuchte Objekte: 180106
Laufzeit: 14 Minute(n), 34 Sekunde(n)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 4
Infizierte Verzeichnisse: 0
Infizierte Dateien: 5

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Minimal\SVCWINSPOOL (Backdoor.IRCBot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\SafeBoot\Network\SVCWINSPOOL (Backdoor.IRCBot) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\sysdrv32 (Backdoor.Bot) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (PUM.Hijack.System.Hidden) -> Bad: (0) Good: (1) -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
c:\system volume information\_restore{152d5307-417a-4ac4-9111-e11c5f216bb7}\RP69\A0020308.exe (Spyware.Passwords.XGen) -> No action taken.
c:\WINDOWS\system32\cmdow.exe (PUP.Tool) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\lokale einstellungen\temporary internet files\Content.IE5\C94L6123\bts[1].exe (Trojan.FakeAlert.Gen) -> No action taken.
c:\WINDOWS\system32\config\systemprofile\lokale einstellungen\temporary internet files\Content.IE5\O9G7C1QX\inc[1].exe (Trojan.FakeAlert.Gen) -> No action taken.
c:\WINDOWS\ufdata2000.log (Malware.Trace) -> No action taken.



soll ich die daten in der Quarantäne löschen???

nein in der quarantäne können sie bleiben.
zum schluss:
bitte erstelle und poste ein combofix log.
Ein Leitfaden und Tutorium zur Nutzung von ComboFix

also mittlerweile habe ich den pc neu aufgestzt.
dennoch bedanke ich mich noachmals, du hast mir sehr geholfen :-)

vielleicht kannst du mir jetzt ein paar tipps geben (wolltest du ja, nachdem ich formatier habe).

mit freundlichen grüßen
Kola