Trojaner-Board - Trojaner ja oder nein

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Trojaner ja oder nein (https://www.trojaner-board.de/109699-trojaner.html)

Trojaner ja oder nein

Hallöchen!

Hab da denke ich ein Problem. Hab heute auf meinen PC Spyware drüber laufen lassen und der hat folgenden Trojaner gefunden und in die Quarantäne geschickt

Trojan.Agent/Gen-Toggle

Kasperksy selbst hat mir aber nie gemeldet das ich einen habe ....

Ist das jetzt tatsächlich ein Trojaner? Wenn ja wie krieg ich den wieder weg?

Zum PC:
Acer Aspire 3100
ursprünglich war VistaHome drauf doch hab mir letztes Jahr Win7 32 Bit drauf gespielt.

Ohne Logs wird das hier nichts. :glaskugel:

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Code:

SUPERAntiSpyware Scan Log

hxxp://www.superantispyware.com
 

Generated 02/12/2012 at 12:18 PM
 

Application Version : 5.0.1144
 

Core Rules Database Version : 8230

Trace Rules Database Version: 6042
 

Scan type       : Complete Scan

Total Scan Time : 01:21:46
 

Operating System Information

Windows 7 Home Premium 32-bit, Service Pack 1 (Build 6.01.7601)

UAC On - Limited User
 

Memory items scanned      : 688

Memory threats detected   : 0

Registry items scanned    : 33630

Registry threats detected : 0

File items scanned        : 34371

File threats detected     : 30
 

Adware.Tracking Cookie

        .adfarm1.adition.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        eas4.emediate.eu [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        eas4.emediate.eu [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        ww251.smartadserver.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .adfarm1.adition.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        ad2.adfarm1.adition.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .adfarm1.adition.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .doubleclick.net [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .smartadserver.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        ad.zanox.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .zanox.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .atdmt.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .atdmt.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        .invitemedia.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        ad.yieldmanager.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        ad.yieldmanager.com [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        adx.chip.de [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        adx.chip.de [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        adx.chip.de [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        adx.chip.de [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        adx.chip.de [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        adx.chip.de [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]

        adx.chip.de [ C:\USERS\BIRGIT\APPDATA\ROAMING\MOZILLA\FIREFOX\PROFILES\RB3JTASE.DEFAULT\COOKIES.SQLITE ]
 

Trojan.Agent/Gen-Toggle

        C:\USERS\BIRGIT\DOWNLOADS\INSTALLER_MAGIC_DVD_RIPPER.EXE

Das Programm Magic .... hab ich deinstalliert, also nachdem ich den Scan gemacht habe

Sieht mir eher nach einem Fehlalarm aus. Hat man bei SASW öfter

Bitte nun routinemäßig einen Vollscan mit malwarebytes machen und Log posten.
Denk daran, dass Malwarebytes vor jedem Scan manuell aktualisiert werden muss! Außerdem müssen alle Funde entfernt werden.

Falls Logs aus älteren Scans mit Malwarebytes vorhanden sind, bitte auch davon alle posten!

ESET Online Scanner

Hier findest du eine bebilderte Anleitung zu ESET Online Scanner
Lade und starte Eset Online Scanner
Setze einen Haken bei Ja, ich bin mit den Nutzungsbedingungen einverstanden und klicke auf Starten.
Aktiviere die "Erkennung von eventuell unerwünschten Anwendungen" und wähle folgende Einstellungen.
Klicke auf Starten.
Die Signaturen werden heruntergeladen, der Scan beginnt automatisch.
Klicke am Ende des Suchlaufs auf Fertig stellen.
Schließe das Fenster von ESET.
Explorer öffnen.
C:\Programme\Eset\EsetOnlineScanner\log.txt (bei 64 Bit auch C:\Programme (x86)\Eset\EsetOnlineScanner\log.txt) suchen und mit Deinem Editor öffnen (bebildert).
Logfile hier posten.
Deinstallation: Systemsteuerung => Software / Programme deinstallieren => Eset Online Scanner V3 entfernen.
Manuell folgenden Ordner löschen und Papierkorb leeren => C:\Programme\Eset

Bitte alles nach Möglichkeit hier in CODE-Tags posten.

Wird so gemacht:

[code] hier steht das Log [/code]

Und das ganze sieht dann so aus:

Code:

hier steht das Log

Bei Malebyte is mir irgendwie passiert, dass er den log net gespeichert hat, er hat aber nur einen keygen gefunden ..

Den scan von dem online

Code:

ESETSmartInstaller@High as CAB hook log:

OnlineScanner.ocx - registred OK

esets_scanner_update returned -1 esets_gle=53251

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=a13233961f37aa4d966b7a345b4d4637

# end=stopped

# remove_checked=false

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-02-12 03:30:13

# local_time=2012-02-12 04:30:13 (+0100, Mitteleuropäische Zeit)

# country="Austria"

# lang=1033

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1280 16777215 100 0 9251916 9251916 0 0

# compatibility_mode=5893 16776573 100 94 10964 80691454 0 0

# compatibility_mode=8192 67108863 100 0 7998 7998 0 0

# scanned=19226

# found=1

# cleaned=0

# scan_time=350

C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe        Win32/Adware.Toolbar.Dealio application (unable to clean)        00000000000000000000000000000000        I

# version=7

# OnlineScannerApp.exe=1.0.0.1

# OnlineScanner.ocx=1.0.0.6583

# api_version=3.0.2

# EOSSerial=a13233961f37aa4d966b7a345b4d4637

# end=finished

# remove_checked=false

# archives_checked=false

# unwanted_checked=true

# unsafe_checked=false

# antistealth_checked=true

# utc_time=2012-02-12 08:04:44

# local_time=2012-02-12 09:04:44 (+0100, Mitteleuropäische Zeit)

# country="Austria"

# lang=1031

# osver=6.1.7601 NT Service Pack 1

# compatibility_mode=1280 16777215 100 0 9266359 9266359 0 0

# compatibility_mode=5893 16776573 100 94 25407 80705897 0 0

# compatibility_mode=8192 67108863 100 0 22441 22441 0 0

# scanned=159135

# found=3

# cleaned=0

# scan_time=2378

C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe        Win32/Adware.Toolbar.Dealio Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I

C:\Qoobox\Quarantine\C\ProgramData\SoftonicDownloader50481.exe.vir        Variante von Win32/SoftonicDownloader.A Anwendung (Säubern nicht möglich)        00000000000000000000000000000000        I

C:\_OTL\MovedFiles\09052010_211939\C_Program Files\pdfforge Toolbar\SearchSettings.dll        Win32/Adware.Toolbar.Dealio Anwendung (Säubern nicht möglich)        00000000000000000000000000000000

Zitat:

C:\Qoobox\Quarantine

Wann wurdest du angewiesen COmbofix auszuführen? Von damals noch => http://www.trojaner-board.de/90378-t...haustiere.html

:confused:

Ich hatte ja schon mal einen Trojaner auf den Rechner, da hatte ich noch Vista, maybe daher?

Gestern hab ich nur SuperAntiSpyware der das eben gemeldet hat, und auf deinen Rat hinauf Maleware und den onlinescan ... Trojanerhunter hab ich auch als schnellscan drüber laufen lassen.

Wenn du damals Vista hattest und nun Win7 lässt das nur zwei Schlüsse zu

a) Du hast Win7 drauf installiert aber vorher nicht formatiert => suboptimal, ich empfehle immer eine Neuinstallation und die erfordert ein vorheriges format c:

b) du hast Windows7 neu installiert und dann nachmal combofix ohne Anweisung lassen

Ist das denn jetzt ein Problem?!

Ich bin damals nach folgender Anleitung gegangen um Win7 zu installieren
http: //beqiraj.net/post/Anleitung-Windows-7-neu-installieren.aspx

Hab als alles fertig war den kompletten Vista-Ordner gelöscht.

Na, wenn man schon auf ein neues Windows wechselt sollte man imho eine komplette Neuinstallation vornehmen, du hast C vorher nicht formatiert und das ist dann keine echte Neuinstallation.

Sind denn noch Probleme offen?

Muss ich heut abend Testen. Die letzten paar Tage war der PC ziemlich langsam, braucht für alles Minuten (zb wenn ich ein Programm öffnen möchte).

Aber aus den Listen ist den nun irgendwas erkennbar, das ich nen Trojaner oder so habe? bzw was ist das, was der onlinescan erkannt hat?

Nein. Wenn der Rechner zu langsam ist => http://www.trojaner-board.de/71631-p...samer-tun.html

Vllt auch mal nachsehen, was du alles an Programmen deinstallieren kannst. Man installiert sich nur die Programme die man auch wirklich benötigt!

Mir is halt extrem aufgefallen. Ich arbeite jetzt mehr am Laptop und wie ich den PC halt am SA wieder benutzt habe, ging da halt alles ehr öde.

Aber dann werd ich mal die Schritte da durchgehen.

Also aus deiner Sicht ist der PC soweit sauber? Schlägst du ne komplette Neuinstallation vor?

Bei den Programm ist halt so, ich brauch ja net immer alle, aber immer Installieren wenn ich sie brauche ist mir dann auch zu öde ...

Zitat:

Schlägst du ne komplette Neuinstallation vor?

Ja, wenn das System durch zig rauf und runter installieren vermurkst wurde ist ein Neuanfang garnicht mal verkehrt. Du hast ja offensichtlich auch nicht formatiert beim Umstieg von Vista auf 7

Zitat:

aber immer Installieren wenn ich sie brauche ist mir dann auch zu öde ...

Du sollst ein Programm ja auch nicht sofort wieder deinstallieren! :stirn:
Darum gehts nicht. Ich meinte, dass man sich nur die Software installiert, die man auch wirklich braucht und nicht planlos alles mögliche an Zeug draufklatscht!

Ich hab das nach dieser Anleitung gemacht ... und bin eigentlich auf Neuinstallation gegangen und nicht Upgrade, das gabs ja zur Auswahl, und den Vista-Ordner der zur Sicherheit kopiert wurde hab ich dann gelöscht (stand auch bei der Anleitung, dass man das tun kann)

Bin da halt ne Leia und hab mich auf die Anleitung verlassen.

Es hat auch nie Probleme gegeben, erst jetzt zickt er halt bissl rum und seit SO eben diese Melduch durch Spyware ...

Aso ne also ich schau schon drauf, dass ich Programme installiere die ich auch brauche, alles andere wäre ja nur Platzverschwendung.

Aber gut wenn sonst nix is und ich mal Zeit finde, installier ich das neu.

Ja probier erstmal die Hinweise aus. Neuinstallation kann man immer noch machen

Ohne zu Nerven!

Aber was genau ist das jetzt, was dieser Online-Scan da gefunden hat?

Wird das nicht durch den Dateinamen erklärt :(
PDFForge-Toolbar, eine Toolbar von PDFForge => PDFCreator

dh einfach die Toolbar löschen und gut ist es?

Sorry, wenn du dir schon die Haare raufst wegen mir.

Dateien löschen, alle Toolbars über die Systemsteuerung entfernen

Was für Dateien denn jetzt genau?

Steht das nicht im Log :balla:
Du fragst ständig was für Dateien das denn sind und willst die weg haben und nun weißt du von nichts mehr? :confused:

Ich weiß ehrlich gesagt nicht mehr als vorher: Außer das es was mit dieser Toolbar zu tun hat.

Ich hab 0 Ahnung von solchen Logs, daher weiß ich auch net was genau zu tun ist.

Na aber man kann in den Logs sehen welche Dateien und die vollständigen Pfade!

Zitat:

C:\Program Files\PDFCreator\Toolbar\pdfforge Toolbar_setup.exe
C:\Qoobox\Quarantine\C\ProgramData\SoftonicDownloader50481.exe.vir
C:\_OTL\MovedFiles\09052010_211939\C_Program Files\pdfforge Toolbar\SearchSettings.dll

Qoobox und_OTL kannste ignorieren