|
Trojaner erstellt setup.exe Hi, ich hab seit ein paar tagen ein problem. Und zwar bekomme ich immer wieder eine Meldung von Kaspersky, das in dem Folder C:/Dokumente und Einstellungen/All Users/Dokumente eine Datei "setup.exe" ist, die den Trojaner Trojan-Proxy.Win32.Horst.av (laut google identisch mit etwas namens backdoor-cmq) enthält. Kaspersky löscht diese Datei dann auch, alles kein Problem. Aber, diese Datei, bzw. Meldung taucht halt immer wieder auf. Also muss ja irgendwas auf meinem PC "setup.exe" immer wieder erstellen/downloaden/was auch immer. Da mir von verschiedenen Seiten Hijackthis empfohlen wurde, hab ichs auch mal durchlaufen lassen, wobei ich auf 2 verdächtige Einträge gestoßen bin, nämlich: O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll diese beiden sagen mir jedenfalls nix, aber ich lösche halt ungern sachen aus dem windows ordner ;-). Also wollte ich mal fragen ob einer von euch weiß ob ich diese Einträge problemlos löschen kann (mit killbox.exe versteht sich) oder evtl eine andere Lösung für mein Trojaner-Problem kennt. Mfg Homer |
Zitat:
Ansonsten poste uns ein vollständiges hijackthis Logfile! |
Gut das ich vorher gefragt habe und nicht einfach was gelöscht habe was ihc nicht kannte...exakt das wurde mir nämlich in einem anderen forum empfohlen :kloppen: komplettes Log: |
Keiner eine idee wie ich das Problem loswerde? |
Du kannst mit Kleinigkeiten anfangen. Erstmal Hijackthis in einen Extra Ordner kopieren und dann Z.B. indem du erstmal mit Hijackthis im abgesicherten Modus(!) folgendes "fixt": O2 - BHO: (no name) - {52DECB26-447B-4214-B88D-C0E7035CA521} - (no file) O2 - BHO: (no name) - {873eb32d-ae1a-4183-89bd-45a77f761be4} - (no file) O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1 O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - h**p://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123 O20 - AppInit_DLLs: O21 - SSODL: cinnamomum - {93ac7c30-3878-4eaa-9420-7977285df5b1} - (no file) Dann neu starten, ins Internet surfen und ein neues Hijackthis log erstellen und posten. |
mal kurz *einmisch* @raman, warum sollte der TO diese Einträge fixen/löschen... Zitat:
@Evilhomer, lade dir folgendes Tool -> SmitfraudFix Starte gleich mit Punkt 2. und poste im Anschluss den Inhalt der Report.txt Gruß Sunny |
Zitat:
Es gibt zumindest 2 Malware Arten, die einen dieser Dateien einfach ueberschreibt. Meistens den Gamma loader, da sie mehr oder minder unnuetz sind und ein Austausch dieser Dateien recht spaet auffallen wuerde. Darum und aufgrund fehlender(aktiver) anderer Verdaechtiger erstmal raus damit. Deshalb die bitte Hijackthis in einen extra Ordner zu packen, um diese Eintraege nachher wiederherstellen zu koennen. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 14:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board