Trojaner-Board - Hilfe Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Hilfe Trojaner (https://www.trojaner-board.de/41576-hilfe-trojaner.html)

Hallo habe da so en paar Trojaner!Wollte mal fragen ob ihr mir weiterhelfen könnt!

Zitat:

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.3.5
Sprache: German
C:\DOKUME~1\RCF25~1\LOKALE~1\Temp\MWAV.LOG

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "cain 4.2 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt:

Keine Aktion vorgenommen.
Object "cain 4.2 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt:

Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
Object "cain 4.2 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt:

Keine Aktion vorgenommen.
Object "cain 4.2 PSWTool" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt:

Keine Aktion vorgenommen.
Object "unknown trojan Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde

durchgeführt: Keine Aktion vorgenommen.
System found infected with cain 4.2 PSWTool (cain.lnk)! Action taken: Keine Aktion

vorgenommen.
System found infected with cain 4.2 PSWTool (cain.lnk)! Action taken: Keine Aktion

vorgenommen.
System found infected with spypal Spyware/Adware (C:\WINDOWS\system32\gdiplus.dll)! Action

taken: Keine Aktion vorgenommen.

~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\WINDOWS\system32\omysmdxq.exe infiziert von "Trojan-Dropper.Win32.Agent.bmk"

Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\DOKUME~1\RCF25~1\LOKALE~1\TEMPOR~1\Content.IE5\OJEFYZCD\masiyxanidi[1] infiziert

von "Trojan-Dropper.Win32.Agent.bmk" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und

Einstellungen\Rü\Anwendungsdaten\LimeWire\.NetworkShare\Incomplete\T-3126056-LimeWireWin4.12

.15.exe infiziert von "Exe.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temporary Internet

Files\Content.IE5\OJEFYZCD\masiyxanidi[1] infiziert von "Trojan-Dropper.Win32.Agent.bmk"

Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Rü\Lokale Einstellungen\Temporary Internet

Files\Content.IE5\Y7IZGBA9\kcehc_eicooc20070702[1] infiziert von

"Trojan-Downloader.Win32.Tiny.id" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\mepfftvu.exe infiziert von "Trojan-Downloader.Win32.Tiny.id"

Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\WINDOWS\system32\omysmdxq.exe infiziert von "Trojan-Dropper.Win32.Agent.bmk"

Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei

G:\Leeching\Emule\Zealot.All.Video.Joiner.v1.6.2.WinALL.(c)racked-BRD.zip/VideoJoiner.exe

infiziert von "Trojan.Win32.Agent.acw" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.

~~~~ Tagged files
~~~~~~~~~~~
File C:\WINDOWS\system32\hgggged.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io".

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hgggged.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io".

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hgggged.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io".

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hgggged.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io".

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ljheb.VIR markiert als "not-a-virus:AdWare.Win32.Virtumonde.kr".

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Datei C:\Dokumente und Einstellungen\Rü\Eigene Dateien\ca_setup.exe//WISE0023.BIN//UPX

markiert als not-a-virus:PSWTool.Win32.Cain.284. Keine Aktion vorgenommen.
File C:\WINDOWS\system32\hgggged.dll markiert als "not-a-virus:AdWare.Win32.Virtumonde.io".

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
File C:\WINDOWS\system32\ljheb.VIR markiert als "not-a-virus:AdWare.Win32.Virtumonde.kr".

Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.

~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\Dokumente und Einstellungen\Rü\Desktop\cain.lnk
Offending file found: C:\Dokumente und Einstellungen\Rü\Recent\cain.lnk
Offending file found: C:\WINDOWS\system32\gdiplus.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Rü\Anwendungsdaten\icq\bart\1024
Offending Folder found: C:\Dokumente und Einstellungen\Rü\Startmenü\programme\cain
Offending Folder found: C:\Dokumente und Einstellungen\Rü\Startmenü\Programme\cain
Offending Folder found: C:\Dokumente und Einstellungen\All

Users\Dokumente\warsow\basewsw\huds\inc\nip
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCU\Software\cain !!!
Offending Key found:

HKCU\software\microsoft\windows\currentversion\explorer\menuorder\start menu2\programs\cain

!!!
Offending Key found: HKCU\\magnet !!!

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = C:\WINDOWS\system32\ljheb.dll (in key SOFTWARE\Microsoft\Windows

NT\CurrentVersion\Winlogon\Notify\ljheb). Deleting Registry Key ljheb...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
G:\Eigene Dateien\Downloads+PragrammSetup´s\Napster&Co\Kazaa.exe nicht gescannt.

Wahrscheinlich durch Passwort geschützt...
G:\Eigene Dateien\Downloads+PragrammSetup´s\Napster&Co\slsk156.exe nicht gescannt.

Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 188907
Gefundene Viren: 39
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 87
Dauer des Scans bisher: 01:24:35
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:53:56,58
Batchende: 18:53:59,27

Hallo,

Zitat:

Datei C:\WINDOWS\system32\omysmdxq.exe infiziert von "Trojan-Dropper.Win32.Agent.bmk"

Der Agent ist idR ein Trojaner mit Backdoorfunktionen!
Werte bitte die Datei

C:\WINDOWS\system32\omysmdxq.exe

online bei Virustotal aus und poste die Ergebnisse mit Angaben zu Dateigröße und Prüfsummen. Poste bitte auch ein Hijackthis-Logfile.

Virustotal

Zitat:

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.7.31.1 2007.07.31 Win-Trojan/Virtumod.66112
AntiVir 7.4.0.54 2007.07.31 TR/Agent.AAOA
Authentium 4.93.8 2007.07.31 W32/Trojan.AYPP
Avast 4.7.1029.0 2007.07.31 Win32:Agent-JOH
AVG 7.5.0.476 2007.07.31 SHeur.ZQ
BitDefender 7.2 2007.07.31 Adware.Virtumonde.SY
CAT-QuickHeal 9.00 2007.07.31 TrojanDropper.Agent.bmk
ClamAV 0.91 2007.07.31 Trojan.Agent-6993
DrWeb 4.33 2007.07.31 Trojan.Virtumod
eSafe 7.0.15.0 2007.07.31 Suspicious Trojan/Worm
eTrust-Vet 31.1.5019 2007.07.31 Win32/Abetear.B
Ewido 4.0 2007.07.31 -
FileAdvisor 1 2007.07.31 -
Fortinet 2.91.0.0 2007.07.31 W32/CTX
F-Prot 4.3.2.48 2007.07.31 W32/Trojan.AYPP
F-Secure 6.70.13030.0 2007.07.31 Trojan-Dropper.Win32.Agent.bmk
Ikarus T3.1.1.8 2007.07.31 Win32.Rigel.6468
Kaspersky 4.0.2.24 2007.07.31 Trojan-Dropper.Win32.Agent.bmk
McAfee 5087 2007.07.31 -
Microsoft 1.2704 2007.07.31 -
NOD32v2 2430 2007.07.31 probably a variant of Win32/TrojanDropper.Agent
Norman 5.80.02 2007.07.31 W32/Agent.BXBG
Panda 9.0.0.4 2007.07.31 Trj/Downloader.OZB
Prevx1 V2 2007.07.31 Generic.Malware
Rising 19.34.12.00 2007.07.31 -
Sophos 4.19.0 2007.07.26 -
Sunbelt 2.2.907.0 2007.07.31 VIPRE.Suspicious
Symantec 10 2007.07.31 Downloader
TheHacker 6.1.7.159 2007.07.31 Trojan/Dropper.Agent.bmk
VBA32 3.12.2.2 2007.07.31 Trojan-Dropper.Win32.Agent.bmk
VirusBuster 4.3.26:9 2007.07.31 Trojan.Agent.IZR
Webwasher-Gateway 6.0.1 2007.07.31 Trojan.Agent.AAOA

Muß ich das Hijackthis Proggy im normalen oder abgesicherten Modus benutzen??

Hier das Hijackthis Protokoll

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:10:45, on 02.08.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\ctfmon.exe
E:\Programme\ICQ6\ICQ.exe
C:\Programme\Microsoft ActiveSync\wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
E:\Programme\Folder Shield\FSService.exe
E:\Programme\Folder Shield\fsp.exe
C:\WINDOWS\System32\wbem\wmiapsrv.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = ICQ.com Suche
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = ICQ.com Suche
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.0.2:81
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1ED44023-1922-478B-94FF-D2FE64268416} - (no file)
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\fltmc.dll
O2 - BHO: (no name) - {3F4F125D-F31E-4D37-AC35-E50128670469} - C:\WINDOWS\system32\hgggged.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\uyqtlqdk.dll
O2 - BHO: (no name) - {CB03C2B1-7D20-4371-9C32-134B6D02974C} - C:\WINDOWS\system32\iiijk.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "E:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\ofuyrwfs.dll",forkonce
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ABIT uGuruIII] C:\Programme\U-ABIT\uGuru\uGuru.exe
O4 - HKCU\..\Run: [ICQ] "E:\Programme\ICQ6\ICQ.exe" silent
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - E:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - E:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{C3584E6D-A2A4-4F0D-A150-082CA5D1C302}: NameServer = 192.168.1.1
O20 - Winlogon Notify: hgggged - C:\WINDOWS\SYSTEM32\hgggged.dll
O20 - Winlogon Notify: iiijk - C:\WINDOWS\system32\iiijk.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Automatisches LiveUpdate - Scheduler - Unknown owner - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe (file missing)
O23 - Service: FSService - Unknown owner - E:\Programme\Folder Shield\FSService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Programme\WinPcap\rpcapd.exe
O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - E:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

--
End of file - 6972 bytes

Das ist leider nur ein Ausschnitt deines Logfiles. Poste es bitte vollständig!

Da lässt sich vieles fixen... Aber ein entgültig vertrauenswürdiges System wird es nicht geben.
Wenn ein Backdoor aktiv war, kann es sein, dass der Erschaffer des Backdoorprogramms auf deinen PC eingedrungen ist und somit Systemdateien oder anderes ausgewechselt hat.
Er könnte sogar dein Antivirus und deine Firewall unschädlich machen!
Das wichtigste ist aber, dass die Trojaner bestimmt schon alle deine Passwörter geklaut haben (Online Banking, Accounts, ...).
Die wirklich sicherste Methode, dich zu "retten", ist das Neuaufsetzen und die abschließende Absicherung!
Falls du trotzdem die Schädlinge "entfernen" möchtest, kannst du folgende Einträge mit HiJackThis fixen:

Zitat:

O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\fltmc.dll
O2 - BHO: (no name) - {3F4F125D-F31E-4D37-AC35-E50128670469} - C:\WINDOWS\system32\hgggged.dll
O2 - BHO: (no name) - {C6039E6C-BDE9-4de5-BB40-768CAA584FDC} - C:\WINDOWS\system32\uyqtlqdk.dll
O2 - BHO: (no name) - {CB03C2B1-7D20-4371-9C32-134B6D02974C} - C:\WINDOWS\system32\iiijk.dll
O4 - HKLM\..\Run: [SystemOptimizer] rundll32.exe "C:\WINDOWS\system32\ofuyrwfs.dll",forkonce
O20 - Winlogon Notify: hgggged - C:\WINDOWS\SYSTEM32\hgggged.dll
O20 - Winlogon Notify: iiijk - C:\WINDOWS\system32\iiijk.dll

Danach update Java, da die Version veraltet ist:

Zitat:

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_11\bin\ssv.dll

Java updaten!

Jetzt muss nurnoch ein neuen HiJackThis Log her :)

Hallo,
entweder du rätst zur Neuinstallation oder du reinigst die Kiste .
Dieses Rumgeeiere hilft dem TO sicher nicht.:kloppen:

Hier wäre durchaus eine Neuinstallation angebracht.
Irrlicht

Zitat:

Zitat von irrlicht (Beitrag 284572)

Hallo,
entweder du rätst zur Neuinstallation oder du reinigst die Kiste .

Und wenn eine Bereinigung, dann aber richtig, nicht nur ein bisschen fxen... :schmoll: