trojaner und andere schädlinge an bord, bitte um hilfe
 

bitte kann mir jemand helfen. ich habe meinen computer zum ersten mal neu aufgesetzt.
als ich dann diesen mit kasperky 7 kontrolliert habe, sind zb. der trojan proxy win 32. agent mf,(backdoortrojaner) adware generic, win 32 small. abh. aufgetaucht. habe alle mit kaspersky gelöscht und ein zwei malware-entferner eingesetzt.
ewido, a-squared.
da wurden noch restspuren beseitigt. jetzt habe ich bei euch gelesen, das man mit hijack this nachprüfen soll.
jetzt bin ich komplett unsicher.das bild habe ich kopiert und ich sehe als laie,dass da noch vieles nicht stimmt.
bin noch ziemlich unerfahren mit den computer. daher bitte ich um geduld, wenn ich was nicht gut beantworten kann.bitte einfach für dummies erklären.
muß ich neu formatieren? jedenfalls DANKE im voraus und für eure geduld
habe ich vielleicht beim neu aufsetzen des computers fehler gemacht?

ganz liebe grüße

tony:):)




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:56, on 04.02.2008
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Boot mode: Normal

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\csrss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\a-squared Anti-Malware\a2service.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe
C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
C:\Programme\a-squared Anti-Malware\a2guard.exe
C:\WINNT\system32\internat.exe
C:\Dokumente und Einstellungen\tony kuen\Lokale Einstellungen\Anwendungsdaten\Trend Micro\HCMS\tsafe\de\tgui.exe
C:\Dokumente und Einstellungen\tony kuen\Lokale Einstellungen\Anwendungsdaten\Trend Micro\HCMS\tsafe\de\tgsvc.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Software Downloads - Software auf Viren geprüft
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = :
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - D:\ - (no file)
O2 - BHO: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file)
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [SpeedTouch USB Diagnostics] "C:\Programme\Thomson\SpeedTouch USB\Dragdiag.exe" /icon
O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"
O4 - HKLM\..\Run: [a-squared] "C:\Programme\a-squared Anti-Malware\a2guard.exe"
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKCU\..\Run: [internat.exe] internat.exe
O4 - HKUS\.DEFAULT\..\Run: [internat.exe] internat.exe (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [^SetupICWDesktop] C:\Programme\Internet Explorer\Connection Wizard\icwconn1.exe /desktop (User 'Default user')
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
O9 - Extra button: Klicke hier um das Projekt xp-AntiSpy zu unterstützen - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O9 - Extra 'Tools' menuitem: Unterstützung für xp-AntiSpy - {0e921e80-267a-42aa-aee4-60b9a1222a44} - C:\Programme\xp-AntiSpy\sponsoring\sponsor.html (HKCU)
O16 - DPF: {1EF9F042-C2EB-4293-8213-474CAEEF531D} (TmHcmsX Control) -
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) -
O17 - HKLM\System\CCS\Services\Tcpip\..\{F47CF003-BAE7-4781-A45F-81A5C83CA9B1}: NameServer = 195.3.96.67 195.3.96.68
O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~2.0\adialhk.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\Programme\a-squared Anti-Malware\a2service.exe
O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINNT\System32\TuneUpDefragService.exe

--
End of file - 6379 bytes


gerade jetzt hat die firewall mir mitgeteilt, dass die ausführbare datei svchost exe verändert wurde.
prozessname: svchost
id: 656
hersteller: microsoft coporation
version: 5.00.2134.1

das ist schon die vierte warnung, die ich bekam. immer wird auf eine datei hingewiesen, die verändert wurde.
sind da hacker im spiel?

Mit Sicherheit hast Du Fehler gemacht, fragt sich nur welche. Es wäre jetzt natürlich interessant zu wissen, was genau Kaspersky bemängelt hat.

Hast Du Dich beim Aufsetzen an die Anleitung hier im Forum gehalten oder hast Du einfach irgendwie Windows draufgebügelt?



Marc

nein, von der anleitung wusste ich nichts
ich bin hergegangen und habe mit der original cd windows installiert.
kaspersky hat mir dann die backdoortrojaner aufgezeigt.
ich habe da als neuling sicher sehr viel fehler gemacht. zuvor hatte ich nie probleme. der kaspersky 6 hielt mir viel ungeziefer fern. find kaspersky im übrigen als dolle sicherheitssoftware.

soll ich den computer neu formatieren?

Nachträglich noch ein Herzlich Willkommen im TB!
bin zur Zeit so unaufmerksam

In diesem Satz steckt einiges an falschem Verständnis von Computersicherheit, aber zuerst geht es um Deine Windowsinstallation.

Ja, unbedingt. Gleich mit einem kompromottierten System anfangen ist sicher keine Basis für unbeschwertes Arbeiten am PC.
Inkoperiere mal diese Anleitung.
Besonders wichtige Punkte hierbei sind:

• keine ausführbaren Dateien (.exe, . com, etc), keine Skriptdateien aus der alten Installation in die neue mitnehmen. Also alles außer Musik, Videos, Bildern, Dokumenten und Dateien bei denen Du mit Sicherheit! weisst, dass sie sauber sind, fliegt raus
• Erst Windows installieren, dann alle Service Packs sowie Virenscanner einspielen und erst dann! den Rechner das erste mal aufs Internet loslassen (bestimmte Downloads müssen also vor der Neuinstallation gemacht werden und auf CD/USB-Stick o.ä. vorliegen)

Ich gehe mal davon aus, dass Du in Deinen Dateien noch irgendwas hast, was Dir nach der Neuinstallation gleich wieder die Pest ins Haus gebracht hat.

Les Dir die Anleitung in Ruhe durch. Wenn Du Fragen hast, melde Dich bevor Du aus der Hüfte schiesst.

Marc

erstmal ein großes dankeschön für deine mühe.
also ich passe sonst wirklich auf. öffne keine emailanhänge, downloade nur vo n seriösen quellen (z. heise, chip oder pcwelt) und kontrolliere diese trotzdem sofort mit kaspersky auf viren.
ich weiß schon, der große gefahrenherd sitzt immer ca 20 cm vor den computer.

was mir jetzt noch eingefallen ist, wäre das, dass ich vor der installation der original windows cd eine kopie von der xp meiner freundin auf meinen computer ausprobiert habe. da war schon so komisches zeugs drauf, wo mich kaspersky sofort gewarnt hat. das waren aber auch backdoortrojaner.not-a-virus wurde da aufgezeigt.
da sie aber diese xp auch verwendet, habe ich sie wieder deinstalliert,weil es nicht rechtens ist. will keine schwierigkeit mit microsoft bekommen.
kann da etwas passiert sein?

danke im voraus.:)

Als Downloadquelle mag chip ja noch seriös sein, aber bei dem was die schreiben hört's echt auf.


Ohne jetzt genau zu wissen, was auf der besagten CD genau drauf war:
Software immer nur von vertrauenswürdigen Quellen (am besten direkt vom Hersteller bzw Orginalmedium respektive Sicherungskopie) aus installieren. Eine Kopie mit irgendwas drauf, ist keine vertrauenswürdige Quelle. Eine Installations-CD bzw Installation bei der ein Virenscanner gleich Alarm schlägt ist von "vertrauenswürdig" weiter entfernt, als die Österreicher vom Gewinn der EM.
U.U. ist auf dieser CD ein manipuliertes Archiv, so dass man gleich vom ersten Tag an ein unsauberes System hat.

Marc

ich werde jetzt sofort ans werk gehen und melde mich dann hoffentlich mit einer erfolgsmeldung wieder.

ich lese am liebsten die CT.

hm, du zweifelst an den glorreichen österreichischen fußballern?
warte nur bis die ernst machen:rolleyes:

DANKE !:)

Hallo nightlight,

ich habe die aktivierten (blau unterlegten) Links in Deinem Posting entschärft. Beachte in Zukunft bitte, dass dies aus Gründen der Sicherheit im Forum Pflicht ist und ein Belassen der Links prinzipiell einen Verstoß gegen die "7 goldenen Regeln" darstellt. Studiere und befolge diese bitte, denn Faulheit gilt als Ausrede nicht ;)

Viel Spaß weiterhin im Trojaner-Board und viel Erfolg mit Deinem Problem :)

Grüße, schneipi