|
1&1Trojaner! Bin auch betroffen! Was soll ich tun? Hi, ich bin bei GMX und bin gestern morgen um 9:20 Uhr auch auf die Mail von 1&1 reingefallen. Könnte mit Tod ärgern. Warum habe ich das .exe nicht gesehen. Habe den Gdata Virenscanner drauf. In der Protokoll Datei habe ich folgende Einträge für die letzten Tage gefunden: beim Öffnen der Datei "I:\WINDOWS\system32\acleditf.exe" wurde der Virus "Backdoor.Win32.Agent.akf" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja. beim Öffnen der Datei "I:\System Volume Information\_restore{35B25332-584C-4F2C-B623-6D7E1355172B}\RP298\A0059701.exe" wurde der Virus "Backdoor.Win32.Agent.akf" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja. beim Öffnen der Datei "I:\Dokumente und Einstellungen\cmosble\Lokale Einstellungen\Temporary Internet Files\Content.IE5\KPKJ430V\Rechnung[1].pdf.exe" wurde der Virus "Backdoor.Win32.Agent.akf" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja. beim Öffnen der Datei "I:\WINDOWS\system32\accessb.exe" wurde der Virus "Backdoor.Win32.Agent.akf" von der Engine "KAV" entdeckt. Datei gesäubert: nein. Datei gelöscht: nein. Quarantäne: ja. Eben habe ich einen gesamten Virenscan durchgeführt: Der Virus Backdoor.Win32.Agent.akf wurde gefunden :mad: Hier das Protokoll: Virenprüfung mit AntiVirenKit Version 17.0.6268 Virensignaturen vom 08.01.2007 Startzeit: 08.01.2007 18:47 Engine(s): Engine A (AVK 17.1893), Engine B (AVKB 17.99) Heuristik: Ein Archive: Ein Systembereiche: Ein Prüfung der Systembereiche... Prüfung ausgewählter Verzeichnisse und Dateien... Objekt: rserver30 raddrvv3.sys In Archiv: L:\Download\rserv30b2.exe Status: Virus gefunden Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (Engine A) Objekt: rserver30 rserver3.exe In Archiv: L:\Download\rserv30b2.exe Status: Virus gefunden Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (Engine A) Objekt: rserv30b2.exe Pfad: L:\Download Status: Datei in Quarantäne verschoben Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (2x) (Engine A) Objekt: Radmin.exe In Archiv: L:\Download\rview30b2.exe Status: Virus gefunden Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (Engine A) Objekt: rview30b2.exe Pfad: L:\Download Status: Datei in Quarantäne verschoben Virus: not-a-virus:RemoteAdmin.Win32.RAdmin.30b2 (Engine A) Objekt: Dl7.exe Pfad: L:\RECYCLER\S-1-5-21-2052111302-813497703-725345543-1003 Status: Datei in Quarantäne verschoben Virus: Backdoor.Win32.Agent.akf (Engine A) Analyse vollständig durchgeführt: 08.01.2007 21:26 121456 Dateien überprüft 3 infizierte Dateien gefunden Was soll ich nun tun ? Muß ich nun alle Festplatten auf meinem Rechner löschen und nur die wo das BS drauf ist. Hier mal mein Logfile. Kann man da was schlimmes erkennen ? Logfile of HijackThis v1.99.1 Scan saved at 18:54:09, on 08.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: I:\WINDOWS\System32\smss.exe I:\WINDOWS\system32\winlogon.exe I:\WINDOWS\system32\services.exe I:\WINDOWS\system32\lsass.exe I:\WINDOWS\system32\svchost.exe I:\WINDOWS\System32\svchost.exe I:\WINDOWS\system32\spoolsv.exe i:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe I:\WINDOWS\Explorer.EXE I:\Programme\G DATA InternetSecurity\AVK\AVKService.exe I:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe I:\Programme\FRITZ!DSL\IGDCTRL.EXE I:\WINDOWS\system32\CTsvcCDA.EXE I:\Programme\ewido anti-spyware 4.0\guard.exe I:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe I:\WINDOWS\system32\nvsvc32.exe I:\WINDOWS\system32\svchost.exe I:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe I:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe I:\WINDOWS\CTHELPER.EXE I:\Programme\Logitech\G-series Software\LGDCore.exe I:\Programme\Logitech\G-series Software\LCDMon.exe I:\Programme\Logitech\QuickCam10\QuickCam10.exe I:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe I:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe I:\Programme\DAEMON Tools\daemon.exe I:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe I:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe I:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe I:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe L:\Programme\BF2G15Mod\BF2 LCD.exe I:\Programme\ICQLite\ICQLite.exe I:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe I:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe I:\WINDOWS\system32\CTXFIHLP.EXE I:\WINDOWS\system32\RUNDLL32.EXE I:\WINDOWS\system32\rundll32.exe I:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe I:\WINDOWS\SYSTEM32\CTXFISPI.EXE I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe I:\Programme\Gemeinsame Dateien\Logitech\LComMgr\Communications_Helper.exe L:\Programme\Steam\Steam.exe I:\Programme\Skype\Phone\Skype.exe I:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe I:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE I:\Programme\SlySoft\AnyDVD\AnyDVD.exe I:\Programme\ASUS WiFi-AP Solo\RtWLan.exe I:\Programme\Logitech\SetPoint\SetPoint.exe I:\Programme\USB Sharing\usbshare.exe I:\Programme\FRITZ!DSL\StCenter.exe I:\Programme\Hardcopy\hardcopy.exe I:\Programme\Logitech\QuickCam10\COCIManager.exe I:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE I:\Programme\Internet Explorer\IEXPLORE.EXE I:\Programme\Pluck Corporation\Pluck\PluckSvr.exe I:\Programme\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe I:\Programme\Internet Explorer\IEXPLORE.EXE I:\Programme\G DATA InternetSecurity\GUI\avkis.exe I:\Programme\G DATA InternetSecurity\AVK\avk.exe I:\Programme\G DATA InternetSecurity\AVKStatus\AVKStatus.exe I:\Programme\Sony Ericsson\Mobile2\File Manager\fmgrsrv.exe I:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe K:\HiJack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.**ogle.de/ O2 - BHO: G DATA WebFilter Class - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - I:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: Pluck Helper - {09AF76DD-6988-4664-97D0-362F1011E311} - I:\Programme\Pluck Corporation\Pluck\PluckExplorerBar.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - i:\programme\google\googletoolbar3.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: GMX Toolbar - {2D1DDD38-CE4D-459b-A01C-F11BC92D5B69} - I:\Programme\GMX\GMX Toolbar\toolbar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {0124123D-61B4-456f-AF86-78C53A0790C5} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - i:\programme\google\googletoolbar3.dll O4 - HKLM\..\Run: [IAAnotif] I:\Programme\Intel\Intel Matrix Storage Manager\Iaanotif.exe O4 - HKLM\..\Run: [GBB36X Configure] I:\WINDOWS\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [Launch LGDCore] "I:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE O4 - HKLM\..\Run: [Launch LCDMon] "I:\Programme\Logitech\G-series Software\LCDMon.exe" O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "I:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide O4 - HKLM\..\Run: [LVCOMSX] "I:\Programme\Gemeinsame Dateien\Logitech\LComMgr\LVComSX.exe" O4 - HKLM\..\Run: [DAEMON Tools] "I:\Programme\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroFilterCheck] I:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe O4 - HKLM\..\Run: [OSSelectorReinstall] I:\Programme\Gemeinsame Dateien\Acronis\Acronis Disk Director\oss_reinstall.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] I:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] I:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [VirtualCloneDrive] "I:\Programme\Elaborate Bytes\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [JMB36X Configure] I:\WINDOWS\system32\JMRaidTool.exe boot O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE O4 - HKLM\..\Run: [Adobe Photo Downloader] "I:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [BF2 G15 MOD] "L:\Programme\BF2G15Mod\BF2 LCD.exe" O4 - HKLM\..\Run: [ICQ Lite] "I:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [TerraTec Remote Control] "I:\Programme\Gemeinsame Dateien\TerraTec\Remote\TTTvRc.exe" O4 - HKLM\..\Run: [ScreenManager Pro for LCD] I:\Programme\EIZO\ScreenManager Pro for LCD\Lcdctrl.exe O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVKTray] "I:\Programme\G DATA InternetSecurity\AVKTray\AVKTray.exe" O4 - HKLM\..\Run: [TkBellExe] "I:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [WinUpdate] I:\WINDOWS\system32\acleditf.exe O4 - HKLM\..\RunServices: [WinUpdate] I:\WINDOWS\system32\acleditf.exe O4 - HKCU\..\Run: [Steam] "L:\Programme\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "I:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [EA Core] "I:\Programme\Electronic Arts\EA Link\Core.exe" -silent O4 - HKCU\..\Run: [Personal ID] I:\PROGRA~1\COOLSPOT\PERSON~1\PID.EXE O4 - HKCU\..\Run: [AnyDVD] I:\Programme\SlySoft\AnyDVD\AnyDVD.exe O4 - HKCU\..\Run: [WinUpdate] I:\WINDOWS\system32\acleditf.exe O4 - HKCU\..\RunServices: [WinUpdate] I:\WINDOWS\system32\acleditf.exe O4 - HKCU\..\RunOnce: [ICQ Lite] I:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: FRITZ!DSL Startcenter.lnk = I:\Programme\FRITZ!DSL\StCenter.exe O4 - Startup: Hardcopy.LNK = I:\Programme\Hardcopy\hardcopy.exe O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ? O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ? O4 - Global Startup: Logitech SetPoint.lnk = I:\Programme\Logitech\SetPoint\SetPoint.exe O4 - Global Startup: Microsoft Office.lnk = I:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: USB Sharing.lnk = ? O8 - Extra context menu item: Add to Windows &Live Favorites - Add to Windows Live Favorites O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://I:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html O9 - Extra button: Pluck - {053017A8-53F7-4EA3-AA38-A4CCAAF1F9E7} - I:\Programme\Pluck Corporation\Pluck\PluckExplorerBar.dll O9 - Extra 'Tools' menuitem: Pluck - {053017A8-53F7-4EA3-AA38-A4CCAAF1F9E7} - I:\Programme\Pluck Corporation\Pluck\PluckExplorerBar.dll O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - I:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - h***go.m***osoft.com/fwlink/?linkid=39204 O16 - DPF: {2AF5BD25-90C5-4EEC-88C5-B44DC2905D8B} (Steuerung des DownloadManager ) - http://dlmana***kamaitools.com.edgesui**nt/dlmanager/versions/activex/dlm-activex-2.0.6.0.cab[/url] O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - **://cdn.scan.safety.****m/resource/download/scanner/w****969.cab O18 - Protocol: pluck - {A5DD5FEC-8239-4A12-B791-4B6067F85CCC} - I:\Programme\Pluck Corporation\Pluck\PluckExplorerBar.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - I:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe O23 - Service: Adobe LM Service - Adobe Systems - I:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AVKProxy - G DATA Software AG - I:\Programme\Gemeinsame Dateien\G DATA\AVKProxy\AVKProxy.exe O23 - Service: AVK Service (AVKService) - G DATA Software AG - I:\Programme\G DATA InternetSecurity\AVK\AVKService.exe O23 - Service: AVK Wächter (AVKWCtl) - Unknown owner - I:\Programme\G DATA InternetSecurity\AVK\AVKWCtl.exe O23 - Service: AVM IGD CTRL Service - AVM Berlin - I:\Programme\FRITZ!DSL\IGDCTRL.EXE O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - I:\WINDOWS\system32\CTsvcCDA.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - I:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: ewido anti-spyware 4.0 guard - Anti-Malware Development a.s. - I:\Programme\ewido anti-spyware 4.0\guard.exe O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - I:\Programme\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - I:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Computer, Inc. - I:\Programme\iPod\bin\iPodService.exe O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - i:\programme\gemeinsame dateien\logitech\lvmvfm\LVPrcSrv.exe O23 - Service: LVSrvLauncher - Logitech Inc. - I:\Programme\Gemeinsame Dateien\Logitech\SrvLnch\SrvLnch.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINDOWS\system32\nvsvc32.exe O23 - Service: Radmin Server V3 (RServer3) - Unknown owner - I:\WINDOWS\system32\rserver30\rserver3.exe" /service (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - I:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe |
|
Zitat:
Na wunderbar. Ich hab es schon befürchtet. Muß ich wirklich alle Festplatten des Rechners löschen ?? Ich habe mein B-System auf Laufwerk I: und der Virus wurde auf Laufwerk L: ausgeführt. Auf Laufwerk C: sind meine Acronis Backups. Sind diese nun auch "verseucht" ? Dann sind alle meine Daten weg !!! Das geht gar nicht :mad: Kann ich nicht erst mal versuchen Laufwerk I: und L: komplett zu löschen und BS neu zu installieren ? Meine Passwörter für Onlinebanking u.s.w. sind in einer KeePass Datei gesichert. Sollte ich alles sperren lassen ? Ferner habe nach der Aktivierung des Virus im Internet mit Kreditkarte eingekauft ( als ich noch nix von dem Virus wußte) Alle Kreditkarten sperren lassen ? Habe den Rechner jetzt komplett vom Netz genommen. Noch nie bin ich auf solche Mails reingefallen. Ich könnte platzen vor Wut :mad: :mad: :koch: |
IdR reicht es, nur die Systempartition zu löschen, also die auf der das kompromittierte Betriebssystem drauf ist. Zitat:
Zitat:
Aber da der Trojaner aktiv war während du Transaktionen vorgenommen hattest...:eek: Heikel das ganze, wenn du auf Nummer sicher gehen willst, musst die die Karten sperren und sätmliche Passwörter ändern lassen. Zitat:
Jedenfalls im System auf Laufwerk I: steckt auf jedenfall was: O4 - HKCU\..\Run: [WinUpdate] I:\WINDOWS\system32\acleditf.exe Zitat:
|
@ cosinus´ Danke Auf i: war mein Betriebssystem (nur eins auf dem Rechner) und auf L: hatte ich Games und Download. Darum war dort der Trojaner. Die PDF.EXE wurde auf L: gespeichert und ausgeführt. Auf den anderen Laufwerken sind nur Daten. Laufwerk I: und L: gelöscht. Betriebssystem neu installiert. Ist jetzt auf Laufwerk C: Kaspersky auf allen Laufwerken laufen lassen. Wird nix mehr gefunden, bis auf einen Hinweis: potentiell gefährliche Software Invader Prozess: C:\Dokumente und Einstellungen\cmosble\Lokale Einstellungen\Temp\_is8A.exe Das ist aber nicht der Trojaner ?? Hier das aktuelle HIJack. Ist da noch was verdächtig ? Logfile of HijackThis v1.99.1 Scan saved at 09:05:42, on 10.01.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\RUNDLL32.EXE C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe C:\WINDOWS\CTHELPER.EXE C:\WINDOWS\system32\CTXFIHLP.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\ASUS WiFi-AP Solo\RtWLan.exe C:\WINDOWS\SYSTEM32\CTXFISPI.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\system32\msiexec.exe C:\HIJACK\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.go***e/ O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Global Startup: ASUS WiFi-AP Solo.lnk = ? O8 - Extra context menu item: Hinzufügen zu Kaspersky Anti-Banner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\ie_banner_deny.htm O9 - Extra button: Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\scieplugin.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O20 - AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll" O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Kaspersky Internet Security 6.0 (AVP) - Unknown owner - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe" -r (file missing) O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe |
Zitat:
Zitat:
C:\WINDOWS\CTHELPER.EXE Auf dem ersten Blick könnte man meinen, diese Datei gehört zu Creative. Lt. Hijackthis.de-Datenbank liegt die aber im System-Ordner... Lad die bitte sicherheitshalber auch bei Virustotal oder Jotti hoch und poste Infos zu Dateigrößen und Prüfsummen (auch von der anderen Datei). |
Habe beide Dateien mit Jotti gescannt. Alles o.k. Größe: _is8A : 444KB (Hersteller:Macrovision) CT Helper: 17,5KB (Hersteller: Creative) Wo finde ich die Prüfsumme ? Kriegt man eigebtlich irgendwann raus was genau dieser 1&1 Trojaner bewirkt bzw. anstellt. Alle Foren sind voll davon. Hat echt viele getroffen. |
Zitat:
Zitat:
Zitat:
|
| Alle Zeitangaben in WEZ +1. Es ist jetzt 07:36 Uhr. |
Copyright ©2000-2025, Trojaner-Board