Trojaner-Board - Trojanerfund bei jedem Neustart? Twex.exe

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojanerfund bei jedem Neustart? Twex.exe (https://www.trojaner-board.de/69205-trojanerfund-neustart-twex-exe.html)

Sorry wg. Doppelpost, hat gehangen...

Warte mal auf nochdiggers Antwort aber ich würde auf einen ZBot tippen der sich bei dir breit gemacht hat.
Das würde für dich bedeuten dass du neuaufsetzen musst.

Na klasse,
aber damit hatte ich ja fast schon gerechnet...

Ist weniger tragisch, der PC wird nur selten genutzt.

Moin

Zitat:

ich würde auf einen ZBot tippen der sich bei dir breit gemacht hat

ich denke ebenfalls so und wollte mit der Auswertung eigentlich nur eine Bestätigung meines Verdachtes.

Zitat:

Na klasse,
aber damit hatte ich ja fast schon gerechnet...

Ja sorry ist bei einem solchen Befall halt das beste und sicherste Mittel den Freund auch loszuwerden.

Zitat:

Ist weniger tragisch, der PC wird nur selten genutzt.

Umso besser, aber er sollte trotzdem aktuell gehalten werden (siehe Link zu Secunia).

Ändere nach der Neuinstallation oder von einem sauberen System aus alle deine Pass- und Kennwörter.
Solltet ihr Onlinebanking, Ebay, PayPal o.ä. mit diesem System betreiben, prüft diese bitte auf Unregelmäßigkeiten.
Wenn du eine Sicherung deiner Daten durchführen möchtest,
lass die Finger von ausführbare Dateien
und Dateien aus unsicheren Quellen wie P2P.
Musik, Videos, Bilder und Officedateien können i.d.R. problemlos gesichert werden,
sollten aber vor dem wiederverwenden mit einem aktuellem Antivirenprogramm überprüft werden.

MFG

Ok, danke für die Hilfe :)

muss ich vorher noch irgendetwas "entfernen" oder ist mein system sauber wenn ich mich an die "neu aufsetzen" anweisung halte?

LG Terri

Zitat:

ich denke ebenfalls so und wollte mit der Auswertung eigentlich nur eine Bestätigung meines Verdachtes.

schon klar. Hätte ich auch so gemacht. ;)

aber eine Frage hab ich noch:

Hatte ich das Ding schon drauf als ich meinen ersten Thread reingesetzt hab?

:) Deshalb hast du dich doch bei uns gemeldet oder?

genau gesagt...ja... :D

Also, hab den PC jetzt komplett neu aufgesetzt, damit dürfte ja jetzt nichtsmehr drauf sein ;) (hab mich immerhin mit bestem wissen und gewissen an die hier im forum gepostete anleitung gehalten)

hier nochmal ein aktueller hijack this log (in dem jetzt hoffentlich nichts mehr zu finden ist)

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:09:14, on 01.02.2009

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programme\Windows Live\Messenger\msnmsgr.exe

C:\Programme\Windows Live\Contacts\wlcomm.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)

O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1233508251234

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
 

--

End of file - 3218 bytes

Vielen Dank für eure Hilfe! :)

Wenn du nach Anleitung nauaufgesetzt hast ist dein Rechner sauber.

Gut. :)

Muss ich noch etwas beachten wegen USB-Sticks oder anderen Datenträgern?
Habe einen Teil schon mit AntiVir gecheckt, hat nichts gefunden.

Ich würde die alle formatieren. Ist sicherer...