Falsche Online-banking-Seite mit IExporer, kann Trojaner nicht finden! Und frage zu H
 

Hallo

hatte mir vor knapp 2 Wochen ganz böse richtig viele Trojaner und Vieren auf den Rechner geholt. Mein Mann hatte da so ein Tipp von ein paar „netten Seiten“ und da war es passiert. Weiß jetzt auch, dass mein Schutz nicht ausreichend war.

Habe nun die letzten Tage einiges ausprobiert und gegoogelt. Ich hab die Freeware-Version vom Spamdoctor, die man bei Google runterladen kann laufen lassen. Der hatte schon viel gefunden und bereinigt. Habe viele Dateien vom Rechner gelöscht, die ich nicht brauchte, oder die mir komisch vorkamen. Dann war in der Computerbild Kaspersky 5 bei, das Programm hatte ich ein paar Tage drauf. Und zur Zeit habe ich den Ativir laufen.
Ich werde mir auch auf jeden Fall die Tage noch ein umfangreiches Schutzprogramm kaufen. Weiß nur nicht welches, das Angebot ist ja so groß!

Die ganzen Virenprogramme finden z.Zt. keine Viren mehr, aber wenn ich mein Online-banking öffne, werde ich immer noch zu einer Betrügerseite geleitet, die 2 Tan-Nr. von mir haben will. Aber ich finde den Trojaner nicht!
Hab mir nun auch den Firefox von Mozilla runtergeladen, der soll ja sicherer sein als der IExplorer. Und wenn ich den Browser benutze werde ich zur richtigen Seite geleitet. Doch ich fühle mich nicht sicher, wenn ich weiß, dass irgendwo noch ein Trojaner sitzt. Ist der dann im IExplorer?

Habe hier ein wenig rumgestöbert und habe auch mit HijackThis ein logfile erstellt und es einmal automatisch auswerten lassen und zusätzlich gegoggelt. Habe dort auch einige Sachen gefixt (gelöscht?). Dazuhabe ich eine Frage. In der Anleitung steht, dass man die verdächtigen Files fixen soll. Dann steht da, dass man die Malware noch löschen muss. Doch wenn ich die Files in den dementsprechenden Ordnern suche, finde ich sie nicht. Oder sind sie durch das fixen schon gelöscht?

Ich kopiere hier noch mal mein aktuelles logfile rein:

Logfile of HijackThis v1.99.1
Scan saved at 12:15:52, on 11.06.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Nero6\incd\InCD\InCDsrv.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\system32\Rundll32.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE
C:\Programme\Nero6\incd\InCD\InCD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\SYSTEM32\USRshutA.exe
C:\WINDOWS\SYSTEM32\USRmlnkA.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\DOKUME~1\biggi\LOKALE~1\Temp\Temporäres Verzeichnis 8 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ebay.de/
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Software\ActiveX\AcroIEHelper.dll
O2 - BHO: H - {C9905EF0-610F-4404-9030-A3F345D069F5} - C:\WINDOWS\system32\comi.dll
O4 - HKLM\..\Run: [USRpdA] C:\WINDOWS\SYSTEM32\USRmlnkA.exe RunServices \Device\3cpipe-USRpdA
O4 - HKLM\..\Run: [P17Helper] Rundll32 P17.dll,P17Helper
O4 - HKLM\..\Run: [EPSON Stylus Photo R200 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I0H2.EXE /P30 "EPSON Stylus Photo R200 Series" /O6 "USB001" /M "Stylus Photo R200"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Nero6\incd\InCD\InCD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NBJ] "D:\Programme\Nero BackItUp\NBJ.exe"
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Software\Reader\reader_sl.exe
O4 - Global Startup: WISO Urteilsmonitor.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE11\EXCEL.EXE/3000
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Programme\Nero6\incd\InCD\InCDsrv.exe


Hatte beim Logfile erstellen auch die faltsche Online-Seite geöffnet, vielleicht war dann ja der Trojaner aktiv?!?!

Ich bin ja wirklich nur ein absoluter Leihe, der sich versucht zu bemühen. Ich finde es super toll, dass es hier so ein Forum gibt und bedanke mich schon mal im Voraus für Meinugen und Tipps!

Hallo. :)

Also...es geht gegen meine Prinzipien, aber ich könnte dir diesen Trojaner entfernen, jedoch ist das Risiko, das Reste übrig bleiben, ziemlich hoch.
Daher rate ich dir zu einer Neuinstallation des Betriebssystems, denn was nützt es dir wenn der Schädling gelöscht ist, aber irgendwas sich immer noch versteckt... ;)

Wenn du dir des Risikos bewusst bist, und doch eine Bereinigung anstrebst, dann melde dich nochmal..

Gruß
Sunny