Trojaner-Board - hilfe beim scan der festplatte ein trojaner entdeckt was soll ich tun

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - hilfe beim scan der festplatte ein trojaner entdeckt was soll ich tun (https://www.trojaner-board.de/28393-hilfe-beim-scan-festplatte-trojaner-entdeckt-tun.html)

hilfe beim scan der festplatte ein trojaner entdeckt was soll ich tun

ich habe gerade antivir durchlaufen lassen und habe ein trojaner drauf was muß ich nun machen

Welcher Trojaner wird gemeldet? Las mal Hijack durchlaufen und poste die Log File hier.

und wenn möglich bitte auch den pfad wo er gefunden wird

was ist ein hijack wie soll ich in hier her logen ich habe keine erfahrung was computer betrifft

TR/Dldr.S.CJG.325.D - Trojan

so heißt der trojaner

Erstellungsdatum der Reportdatei: Freitag, 14. April 2006 12:00

Job Name: 'Lokale Laufwerke'

Es wird nach 358297 Virenstämmen gesucht.

Lizenznehmer: AntiVir PersonalEdition Classic
Seriennummer: 0000149996-WURGE-0001
Plattform: Windows XP
Windowsversion: (Service Pack 2) [5.1.2600]
Benutzername: SYSTEM
Computername: DIANA

Versionsinformationen:
AVSCAN.EXE : 7.0.0.30 536616 21.03.2006 13:48:20
AVSCAN.DLL : 7.0.0.30 53288 21.03.2006 13:48:20
LUKE.DLL : 7.0.0.30 114728 21.03.2006 13:48:20
LUKERES.DLL : 7.0.0.30 32768 21.03.2006 13:48:20
ANTIVIR0.VDF : 6.32.0.60 4323840 27.03.2006 09:11:45
ANTIVIR1.VDF : 6.34.0.105 1669120 10.04.2006 18:09:51
ANTIVIR2.VDF : 6.34.0.185 223744 14.04.2006 08:21:53
ANTIVIR3.VDF : 6.34.0.186 3584 14.04.2006 08:21:53
AVEWIN32.DLL : 7.0.0.7 1171968 10.04.2006 18:09:51
AVPREF.DLL : 6.34.0.0 38440 18.01.2006 12:05:53
AVREP.DLL : 6.34.0.170 2326568 11.04.2006 10:45:49
AVPACK32.DLL : 6.33.0.6 331816 09.01.2006 09:03:37
AVREG.DLL : 6.31.0.90 27688 28.07.2005 10:06:24
NETNT.DLL : 6.32.0.0 6696 27.09.2005 07:56:47
NETNW.DLL : 6.32.0.0 9768 27.09.2005 07:56:47

Beginn des Suchlaufs: Freitag, 14. April 2006 12:00

Es wird begonnen die Bootsektoren zu durchsuchen:

Bootsektor 'C:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'I:'
[HINWEIS] Es wurde kein Virus gefunden!
Bootsektor 'D:'
[HINWEIS] Im Laufwerk 'D:' ist kein Datenträger eingelegt!
Bootsektor 'E:'
[HINWEIS] Im Laufwerk 'E:' ist kein Datenträger eingelegt!
Bootsektor 'F:'
[HINWEIS] Im Laufwerk 'F:' ist kein Datenträger eingelegt!
Bootsektor 'G:'
[HINWEIS] Im Laufwerk 'G:' ist kein Datenträger eingelegt!

Es wird begonnen die Registry nach ausführbaren Programmen zu durchsuchen.

Die Registry wurde durchsucht ( 52 Dateien ).

Der Suchlauf über die ausgewählten Dateien wird begonnen:

C:\pagefile.sys
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\ntuser.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\Admin\Lokale Einstellungen\Temp\Perflib_Perfdata_b68.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\catalog.wci\CiCL0001.000
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\catalog.wci\CiP10000.000
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\catalog.wci\CiP20000.000
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\catalog.wci\CiPT0000.000
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\catalog.wci\CiSL0001.000
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\catalog.wci\CiSP0000.000
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\catalog.wci\CiST0000.000
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\catalog.wci\CiVP0000.000
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\catalog.wci\INDEX.000
[WARNUNG] Die Datei konnte nicht geöffnet werden!
C:\System Volume Information\_restore{FFA5EBAB-16B8-4032-A285-5121E7465D21}\RP33\A0006918.exe
[FUND] Ist das Trojanische Pferd TR/Swizzor.A
[INFO] Die Datei wurde gelöscht.
C:\System Volume Information\_restore{FFA5EBAB-16B8-4032-A285-5121E7465D21}\RP36\A0007612.exe
[FUND] Ist das Trojanische Pferd TR/Swizzor.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '446f83a2.qua' verschoben!
C:\System Volume Information\_restore{FFA5EBAB-16B8-4032-A285-5121E7465D21}\RP36\A0007635.exe
[FUND] Ist das Trojanische Pferd TR/Swizzor.A
[INFO] Die Datei wurde ins Quarantäneverzeichnis unter dem Namen '446f83a5.qua' verschoben!
C:\System Volume Information\_restore{FFA5EBAB-16B8-4032-A285-5121E7465D21}\RP49\A0010040.exe
[FUND] Ist das Trojanische Pferd TR/Swizzor.A
[INFO] Die Datei wurde gelöscht.

ist es das was nach dem report was iht braucht

Hallo pupsl,
Download und Anleitung für Hijackthis :
http://www.trojaner-board.de/showthread.php?t=17493
'
Download und Anleitung EScan :
http://www.trojaner-board.de/showthread.php?t=24192
Jeweils unten auf den verlinkten Seiten steht ein PDF zum Download bereit,das kann man ausdrucken.Es hilft um sich genauestens an die Anleitung zu halten.
Irrlicht

Logfile of HijackThis v1.99.1
Scan saved at 13:35:01, on 14.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Java\jre1.5.0\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Programme\Winamp\winampa.exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\WINDOWS\system32\cisvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\ISW\alice\signup\connctas.exe
C:\WINDOWS\system32\cidaemon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avscan.exe
C:\Dokumente und Einstellungen\Admin\Desktop\irgentwas\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h..p://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://runonce.msn.com/?v=msgrv75
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h..p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h..p://www.alice-dsl.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h..p://www.alice-dsl.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: System Process - {C2EEB4FA-B6D6-41b9-9CFA-ABA87F862BCB} - C:\WINDOWS\system32\st.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0\bin\jusched.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [ScanRegistry] C:\W
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbar...E_ZNxmk970YYDE
O8 - Extra context menu item: &Yahoo! Search - file:///C:\Programme\Yahoo!\Common/ycsrch.htm
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Yahoo! &Dictionary - file:///C:\Programme\Yahoo!\Common/ycdict.htm
O8 - Extra context menu item: Yahoo! &Maps - file:///C:\Programme\Yahoo!\Common/ycmap.htm
O8 - Extra context menu item: Yahoo! &SMS - file:///C:\Programme\Yahoo!\Common/ycsms.htm
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programme\Yahoo!\Common\yiesrvc.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://h..p://ak.exe.imgfarm.com/ima...up1.0.0.15.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://h..p://groups.msn.com/control...C/MsnPUpld.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://h..p://appdirectory.messenger...p/PhtPkMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://h..p://messenger.msn.com/down...Downloader.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - h..p://chat.msn.com/controls/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{F081133D-C581-4E2A-B904-2449F31C26BD}: NameServer = 213.191.92.84 213.191.74.12
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

ich hoffe das ich es richtig gemacht habe

Hallo Pupsl,
lese die Anleitung !
Links unkenntlich machen ! So :http wandeln in h**p
Irrlicht

:heulen: ch versteh nicht was du meinst und die anleitung versteh ich auch nicht