|
Trojaner im Recycler obwohl nix drin is (dc#.cab) hallo. antivir wirft mir folgendes seit einiger zeit aus: es müsste sich, so weit ich das verstehe, um einen trojaner im papierkorb handeln - dort ist aber keine datei, der ist leer!!!! drunter poste ich noch das hijacklog. bitte um hilfe, danke! C:\RECYCLER\S-1-5-21-1715567821-1390067357-682003330-500 Dc1.cab ArchiveType: CAB (Microsoft) --> alchem.exe [FUND!] Ist das Trojanische Pferd TR/Dldr.Alchemic Dc2.cab ArchiveType: CAB (Microsoft) --> preInsTT.exe Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt. --> polall1m.exe [FUND!] Enthält Signatur des Wurmes Worm/Rbot.IQ.03 Dc3.cab ArchiveType: CAB (Microsoft) --> ISTactivex.dll [FUND!] Ist das Trojanische Pferd TR/Dldr.IstBar.PT Dc4.exe Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt. Dc5.cab ArchiveType: CAB (Microsoft) --> preInsTT.exe Die Datei enthält Signatur des PMS/Dldr.Krepper.1-Programmes und wurde vom Benutzer unterdrückt. --> polall1m.exe [FUND!] Enthält Signatur des Wurmes Worm/Rbot.IQ.03 Fehler beim Wechsel in das Verzeichnis System Volume Information ----------- Logfile of HijackThis v1.99.1 Scan saved at 17:59:15, on 02.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe F:\Sygate Firewall Platinum\smc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe F:\programme\quicktime\qttask.exe F:\Programme\Creative\SB Live 24 Bit\Surround Mixer\CTSysVol.exe C:\WINDOWS\System32\RunDll32.exe F:\Programme\Norton Ghost\Agent\GhostTray.exe F:\AntiVir\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe F:\PROGRA~1\ASHAMP~1\PopUpKiller.exe F:\AntiVir\AVGUARD.EXE F:\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\CTsvcCDA.EXE C:\WINDOWS\System32\GEARSec.exe F:\Programme\Norton Ghost\Agent\PQV2iSvc.exe C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.inode.at/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Inode O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - F:\Acrobat Reader\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - F:\PROGRA~1\ASHAMP~1\PopUp.dll O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [rkkikngsx] C:\WINDOWS\System32\tluojyne.exe O4 - HKLM\..\Run: [SmcService] F:\SYGATE~1\smc.exe -startgui O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "F:\programme\quicktime\qttask.exe" -atboottime O4 - HKLM\..\Run: [CTSysVol] F:\Programme\Creative\SB Live 24 Bit\Surround Mixer\CTSysVol.exe /r O4 - HKLM\..\Run: [SbUsb AudCtrl] RunDll32 sbusbdll.dll,RCMonitor O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE O4 - HKLM\..\Run: [Norton Ghost 9.0] F:\Programme\Norton Ghost\Agent\GhostTray.exe O4 - HKLM\..\Run: [AVGCtrl] F:\AntiVir\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [Ashampoo PopUpBlocker] F:\PROGRA~1\ASHAMP~1\PopUpKiller.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = F:\Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\NPJava142_04.dll (file missing) O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\NPJava142_04.dll (file missing) O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\ICQLite\ICQLite.exe O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - F:\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - F:\AntiVir\AVWUPSRV.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE O23 - Service: GEARSecurity - GEAR Software - C:\WINDOWS\System32\GEARSec.exe O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: Norton Ghost - Symantec Corporation - F:\Programme\Norton Ghost\Agent\PQV2iSvc.exe O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - F:\Sygate Firewall Platinum\smc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe |
du hast einen rbot auf dem system. dein system ist kompromittiert; es ist nicht mehr vertrauenswürdig. installiere windows neu und beachte diese Anleitung |
uououo, verdammt. warte mal. danke für deine hilfe, aber: a.) was ist ein rbot? was tut er? b.) kann ich das nicht irgendwie anders lösen? kann das system nicht neu installieren, das wäre zu aufwändig... |
na das ist der hier mal ein kleiner auszug was der alles so macht: Zitat:
|
Zitat:
|
und was ich mir jetzt noch gedacht habe - sorry, ist vielleicht naiv: ich hab ja eine firewall - da merk ich doch, wenn jemand raus oder rein aus dem system will??? lg danke! |
.... ich empfehle ausdrücklich den trojaner NICHT zu entfernen sondern NEUZUINSTALLIEREN. es gibt bei google genug lösungswege sowas zu entfernen. jedenfalls ist es bei einem backdoor zu riskant, mit dem system noch zu arbeiten. zum thema firewall über das ich mich immer wieder richtig gerne auslassen werde^^: -sie hat selbst sicherheitslücken -gewöhnlicher user kann normale programme von trojaner nie und nimmer unterscheiden -risikokompensation wie bei dir (der user denkt dann dass er alles machen kann was unsicher ist, denn er hat ja den alles-blocker könner TM) -firewalls können problemlos umgangen werden es gibt progs wie von www.ntsvcfg.de und www.dingens.org die windows gleich sicher konfigurieren und eine firewall überflüssig machen. |
aha. und warum hilft die firewall da nix? |
Prüfe die folgende Datei (fall sie noch da ist) mal bitte bei Jotti´s maleware scan http://virusscan.jotti.org/ C:\WINDOWS\System32\tluojyne.exe um die Papierkörbe einsehen zu können: Systemdateien / Datei-Erweiterungen anzeigen lassen durch folgende Einstellungen : Windows Explorer -> Reiter: "Extras/Ordneroptionen" -> Reiter: "Ansicht" -> Haken entfernen bei "Erweiterungen bei bekannten Dateitypen ausblenden" u. "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren ...... ok klicken und für alle Ordner übernehmen dann unter c:\RECYCLER |
@net bist du dir sicher das das noch sinn hat? lies mal: Zitat:
|
@ net. äh, die datei ist laut windowssuche nicht mehr da... bedeutet das schlechtes??? in der ms-config hab ich sie aber noch unter "systemstart" |
Zitat:
|
aso^^ na dann is ja alles klar^^ |
Zitat:
net |
hi danke erstmal für eure hilfe. werde wohl formatieren noch eine frage: wenn ich die images von ghost nehem - ist da nicht der trojaner auch wieder drauf??ß |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board