|
Hilfe! Bitte! ich hab heute nachmittag die meldung bekommen, ein trojaner habe sich bei mir eingeschlichen. bin absolut unbedarft, was solche dinge angeht und hoffe, ich habe alles richtig gemacht, so dass ihr mir vielleicht helfen könnt. schäden kann ich momentan keine feststellen, aber es bleibt ein ungutes gefühl. vielen dank im voraus! Logfile of HijackThis v1.99.1 Scan saved at 22:07:10, on 03.04.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\DVDRAMSV.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programme\Toshiba\Windows Utilities\Hotkey.exe C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe C:\Programme\TOSHIBA\ConfigFree\NDSTray.exe C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe C:\WINDOWS\system32\dla\tfswctrl.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\TOSHIBA\ConfigFree\CFSServ.exe C:\WINDOWS\system32\igfxext.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\system32\RAMASST.exe C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearchIndexer.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopDisplay.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\***\Desktop\hijackthis_199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: MSN Suche Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll O3 - Toolbar: MSN Suche Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [Toshiba Hotkey Utility] "C:\Programme\Toshiba\Windows Utilities\Hotkey.exe" /lang DE O4 - HKLM\..\Run: [PadTouch] C:\Programme\TOSHIBA\Touch and Launch\PadExe.exe O4 - HKLM\..\Run: [NDSTray.exe] NDSTray.exe O4 - HKLM\..\Run: [SmoothView] C:\Programme\TOSHIBA\TOSHIBA Zoom-Dienstprogramm\SmoothView.exe O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [CFSServ.exe] CFSServ.exe -NoClient O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [KAVPersonal50] "C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kav.exe" /minimize O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [TOSCDSPD] C:\Programme\TOSHIBA\TOSCDSPD\toscdspd.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Microsoft Office OneNote 2003 Schnellstart.lnk = C:\Programme\Microsoft Office\OFFICE11\ONENOTEM.EXE O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: Kaspersky Anti-Hacker.lnk = C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Hacker\KAVPF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe O4 - Global Startup: Windows-Desktopsuche.lnk = C:\Programme\MSN Toolbar Suite\DS\02.05.0001.1119\de-de\bin\WindowsSearch.exe O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: &MSN Suche - res://C:\Programme\MSN Toolbar Suite\TB\02.05.0000.1082\de-de\msntb.dll/search.htm O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/229?d9511dd51c4d4bd2aba980c28fd87c3b O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\MSN Toolbar Suite\TAB\02.05.0001.1119\de-de\msntabres.dll/230?d9511dd51c4d4bd2aba980c28fd87c3b O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: PopUpKiller - Fenster immer schließen - {397B302C-E42B-49BD-80EB-538D60E62F5E} - C:\Programme\PopUpKiller\Caller_c.exe O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: PopUpKiller - Fenster nie schließen - {A69C75BF-FAAC-4D9D-8F91-FBABB0A87D99} - C:\Programme\PopUpKiller\Caller_n.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: eBay - {ED0EA835-D79E-4F9A-A0B4-8164CC544D52} - C:\Programme\Internet Explorer\Signup\ToshibaGotoEbay.exe (HKCU) O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll O23 - Service: ConfigFree Service (CFSvcs) - TOSHIBA CORPORATION - C:\Programme\TOSHIBA\ConfigFree\CFSvcs.exe O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe O23 - Service: kavsvc - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Security Suite\Kaspersky Anti-Virus Personal\kavsvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
Hallo Samsa, wo wurde der Trojaner entdeckt (Datei mit genauer Pfadangabe)? Brauchst Du so viele Toolbars? Den Popupkiller kannst Du Dir schenken, wenn Du den weitaus sicheren "Firefox" zum Surfen benutzt. dartus |
hallo dartus, danke schon einmal für die mühe! zu den toolbars: ich habe mir schlicht und einfach nie gedanken darüber gemacht, ob ich sie brauche, weil ich dachte, es sei egal, wenn sie da sind. prinzipiell benötige ich sie nicht. sollte man sie entfernen? :) zum problem: norton hatte mir mitgeteilt, einen trojaner entdeckt zu haben und da das mein erster kontakt mit einem virus war, bin ich in panik geraten, habe alle verbindungen gekappt und den computer ausgemacht. als ich ihn wieder eingeschaltet und erleichtert festgestellt habe, dass nicht alles kaputt war, habe ich mich auf die suche nach programmen gemacht, die mir helfen könnten. einige habe ich heruntergeladen, darunter auch das angesprochene popup-/dialerding, aber nichts hat genützt. dann bin ich auf euer forum, hijack und kaspersky gestossen. kaspersky hat gerade zwei trojaner-dateien gefunden und entfernt. ich weiß jetzt nicht, wie ich den pfad/ die betroffenen dateien rückwirkend herausfinden kann. ich bin halt wirklich etwas hilflos in diesem ganzen bereich :) ist denn in dem geposteten hijack-log nichts zu sehen gewesen? und ist jetzt alles gut, wenn kaspersky die dateien gelöscht hat? firefox ist besser? ich hatte halt bisher nie irgendwelche probleme. ähmm, ja. alles ein bißchen wirr. kannst du mir irgendwie helfen, oder sagen, was sich tun muss, um sicher zu sein, dass kein trojaner mehr da ist? |
Hallo Samsa, falls Du die Toolbars nicht brauchst/verwendest einfach über Systemsteuerung/Software deinstallieren. Thema --> [url=http://www.trojaner-board.de/showthread.php?t=8251] Browser [/url Dein Logfile sieht unauffällig, od dies nun für Dein gesamtes System zutrifft, kann nicht gesagt werden. Führe folgendes aus: - clearprog 1.4.1 final, nimm eine Datenträgerbereinigung vor (Häkchen bei “alles Löschen” und auf “Löschen” klicken) - Datfind.bat und poste wie beschrieben die 4 Logfiles mit den Daten der letzten 3 Monate dartus |
das ist ziemlich lang. alleine der erste ist knapp viermal so lang wie erlaubt. müsste das dann in viele teile zerlegen, ok? |
Hallo Samsa, Zitat:
Trotzdem so viel? dartus |
Oh vielleicht bin ich einfach zu blöd. sorry. ich lösche also alles, was älter ist und poste nur das übriggebliebene, ja :) tut mir leid. |
Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E040-A68F Verzeichnis von C:\WINDOWS\system32 03.04.2006 21:41 100 LuResult.txt 03.04.2006 16:00 4.212 zllictbl.dat 03.04.2006 14:34 131.688 FNTCACHE.DAT 27.03.2006 05:20 380.684 perfh009.dat 27.03.2006 05:20 391.574 perfh007.dat 27.03.2006 05:20 53.098 perfc009.dat 27.03.2006 05:20 63.976 perfc007.dat 27.03.2006 05:20 898.510 PerfStringBackup.INI 12.03.2006 15:37 1.158 wpa.dbl 09.03.2006 16:21 4.799.320 MRT.exe 22.01.2006 22:33 16.832 amcompat.tlb 22.01.2006 22:33 23.392 nscompat.tlb 04.01.2006 05:35 68.096 webclnt.dll Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E040-A68F Verzeichnis von C:\DOKUME~1\***~1\LOKALE~1\Temp 04.04.2006 13:39 35 music.ram 04.04.2006 13:36 1.761 BCG13.tmp 04.04.2006 13:34 16.384 ~DFFE45.tmp 04.04.2006 13:34 512 ~DFD6DD.tmp 04.04.2006 13:34 16.384 ~DFD6B4.tmp 5 Datei(en) 35.076 Bytes 0 Verzeichnis(se), 12.518.891.520 Bytes frei Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E040-A68F Verzeichnis von C:\WINDOWS 04.04.2006 13:46 854 KB914798.log 04.04.2006 13:34 0 0.log 04.04.2006 13:34 2.083.615 WindowsUpdate.log 04.04.2006 13:34 2.048 bootstat.dat 04.04.2006 13:33 32.528 SchedLgU.Txt 04.04.2006 03:07 0 nsreg.dat 04.04.2006 03:07 107.132 UninstallFirefox.exe 04.04.2006 03:07 2.763 mozver.dat 04.04.2006 03:01 74.211 iis6.log 04.04.2006 03:01 165.061 comsetup.log 04.04.2006 03:01 98.489 ntdtcsetup.log 04.04.2006 03:01 1.355 imsins.log 04.04.2006 03:01 182.311 tsoc.log 04.04.2006 03:01 25.851 ocmsn.log 04.04.2006 03:01 3.160 KB885884.log 04.04.2006 03:01 227.553 ocgen.log 04.04.2006 03:01 23.428 msgsocm.log 04.04.2006 03:01 462.932 FaxSetup.log 04.04.2006 03:01 518.818 setupapi.log 03.04.2006 14:11 47.336 wmsetup.log 03.04.2006 12:52 735 wiadebug.log 03.04.2006 12:52 50 wiaservc.log 03.04.2006 12:52 748 ODBC.INI 03.04.2006 12:51 573 win.ini 19.02.2006 00:41 923 spupdsvc.log 17.02.2006 15:29 1.374 imsins.BAK 17.02.2006 15:29 11.221 KB911927.log 17.02.2006 15:29 36.603 updspapi.log 17.02.2006 15:29 4.977 KB911564.log 17.02.2006 15:28 5.223 KB911565.log 17.02.2006 15:28 6.931 KB913446.log 07.02.2006 22:07 754 WORDPAD.INI 04.02.2006 23:40 280 nsw.log 23.01.2006 10:17 67 Aurora Video VCD_SVCD_DVD Creator.INI 13.01.2006 04:01 10.662 KB908519.log 12.01.2006 01:56 208.521 setupact.log 08.01.2006 04:01 11.664 KB912919.log Volume in Laufwerk C: hat keine Bezeichnung. Volumeseriennummer: E040-A68F Verzeichnis von C:\ 04.04.2006 13:58 0 sys.txt 04.04.2006 13:57 8.689 system.txt 04.04.2006 13:57 487 systemtemp.txt 04.04.2006 13:55 94.421 system32.txt 04.04.2006 13:34 792.723.456 pagefile.sys 23.03.2006 16:58 40 Auth.prof 25.12.2005 22:00 309 ToCaclLg.txt 25.12.2005 21:57 565 TO_InstallLog.txt 25.12.2005 21:51 2.735 TDSLCheck.txt 29.11.2005 15:20 211 boot.ini |
Hallo Samsa, das sieht m.E. in Ordnung aus. Hier findest Du noch Lesenswertes, insbesondere die “12 Punkte” zur Systemabsicherung. dartus |
das ist doch eine erfreuliche nachricht. vielen dank! ich mach mich dann jetzt mal ein wenig schlau, damit ich euch in zukunft nicht unnötig in anspruch nehmen muss. vielen dank nochmal!!! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:38 Uhr. |
Copyright ©2000-2025, Trojaner-Board