Ich habe einen Trojaner - wie werde ich ihn los
 

Hallo

Ich habe mir soeben von einem Board eine Datei runtergeladen, enpackt und ausgeführt. Das Icon ist daraufhin gleich verschwunden. Gleich mal zurück ins Board - siehe da: erste antwort lautet: das ist ein trojaner.

geil... lad ich mir doch einen trojaner runter. ok. ruhe bewaren. warum hat mein mcaffee nix bemerkt? ich hab gleich mal die firewallsperre aktiviert, obwohl ich nicht weiss ob das noch was bewirkte... jedenfalls sind jetzt die verbindungen blockiert. ich schreiben hier von meinem 2. pc aus.

wenn ich nun den taskmanager aufrufen sehe ich viele prozesse, die ich bis jetzt noch nicht gesehen habe. ich kann das jedoch leider nicht präzsieren, da ich nicht genau weiss, welche das sind. die liste ist jetzt auf jeden fall länger. die cpu auslastung ging bis auf 56% hoch, wo sie jetzt auch im moment ist, wenn ich bloss das desktopbild anschaue. mcaffee hab ich gleich mal scannen lassen, findet jedoch nix.

meine frage: wie kann ich vorgehen? kann ich meine privaten dateien (fotos, musik, etc) noch auf meine externe hd überlagern? oder geht das bereits nicht mehr? würde es euch helfen, wenn ich die datei, die ich runtergeladen habe zeigen würde? vielleicht kann man daran analysieren, was das für eine virus / trojaner ist.

ich bin für jede hilfe dankbar. auch ein neuse aufsetzen habe ich momentan nicht die geringste lust, da dies mit datenverlust verbunden wäre.

edit1: svchost ist mittlerweile 8 mal vorhanden. normal ist das doch nicht? ich bin nicht der absolute pc-kenner...
edit2: ich lade mir gerade den "escan" herunter und werde das mal laufen lassen auf meine pc. den bericht poste ich dann hier

Hallo.

Weil Virenscanner prinzipielle Schwächen haben und hin und wieder mal Schädlinge übersehen, v.a. neue oder modifizierte Schädlinge werden häufig nicht gemeldet. Auf den Virenscanner darfst du dich daher nicht verlassen und sorglos jeden Mist anklicken... :rolleyes:
Eingeschränkte Rechte hätten dich vor diesem Unglück wohl bewahrt...

Meinst du von einer PFW? Das bringt wenig bis gar nichts, jedenfalls ist davon auszugehen. Ein mit Adminrechten ausgeführter Schädling wird versuchen, die PFW stillzuleegen oder zu umgehen...im worst case jedenfalls und davon ist auszugehen!

Mach mal ein Hijackthis-Log und poste es - nimm am besten dazu diese umbenannte hijackthis.exe, danach mal einen Check mit Blacklight - poste auch das Ergebnis.

Private Dateien (Musik, Videos, Officedokumente), also keine ausführbaren (*.exe *.com etc.) sollte man problemlos sichern und auf das neu aufgesetzte System übertragen können. Denk aber mal dran regelmäßig Backups zu machen und nicht erst dann wenn's zu spät ist. Was willst du denn auch machen, wenn die Festplatte mal abraucht? :confused: Es muss nicht immer Schädlingsbefall sein.

Nach Lust geht das aber nicht :balla: Wir müssen erstmal analysieren, was du dir da eingefangen hast und wie es allgemein um dein System bestellt ist.

Je nach Konfig kann das durchaus normal sein...

Da wäre auch interessant. Poste dann das mit der find.bat "gefilterte" Logfile.

hallo

danke für die antwort

das mit dem escan geht bei mir leider nicht, es kann keine aktualisierung machen. deshalb habe ich jetzt mal das durchgeführt, was du mir geraten hast. hier mal der log:

Logfile of Trend Micro HijackThis v2.0.2


[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA http://www.smilies.4-user.de/include...lie_be_027.gif
[/edit]

ich habe den eScan durchgeführt, folgendes kam raus:


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NORMAL

eScan Version: 9.6.2
Sprache: German
Virus-Datenbank Datum: 12/20/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "linkmedia Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "video activex object Trojan" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "browseraid Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "Possible Fujacks-type Worm" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with killav.nbd Browser Hijacker ({e0e899ab-f487-11d5-8d29-0050ba6940e3})! Action taken: Keine Aktion vorgenommen.
System found infected with video activex access Trojan ({7e853d72-626a-48ec-a868-ba8d5e23e045})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({8996b0a4-d7be-101b-8650-00aa003a5593})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c430-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c1-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c2-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c3-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266c4-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d1-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d2-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d3-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({1d3266d4-745c-11d0-9223-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({5deca4e0-3b4f-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({608e8b10-3690-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({8a906ac2-be4b-11d1-b134-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c448-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c449-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44c-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44d-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({9f37c44f-98f3-11d1-9c3b-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({a24604ba-c27f-11d1-9c4e-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({d5688691-e6b0-11d1-89b0-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({edbc92f0-b34c-11d1-b134-00a0244d2920})! Action taken: Keine Aktion vorgenommen.
System found infected with lophtcrack Spyware/Adware ({f3743560-454e-11d1-8fd4-00aa00bd091c})! Action taken: Keine Aktion vorgenommen.
System found infected with conducent flexpak Spyware/Adware (gpinstall.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\T***\Eigene Dateien\BATCH\printip.exe infiziert von "Trojan-Downloader.Win32.Small.fuk" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
Datei C:\Dokumente und Einstellungen\T***\Eigene Dateien\Downloads\Programme\mirc616.exe//data0001.bin markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
Datei C:\mIRC\mirc.exe markiert als not-a-virus:Client-IRC.Win32.mIRC.616. Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\WINDOWS\gpinstall.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Programme\video activex object
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\common\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\emailscan\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcmscins\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\mcpscheduler\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\misp\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\personal firewall\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\quickclean\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\shredder\mcinst
Offending Folder found: C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\mcafee\mclogs\virusscan\mcinst
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!
Offending Key found: HKLM\System\CurrentControlSet\Services\nwsapagent !!!
Offending Key found: HKLM\System\ControlSet001\Services\nwsapagent !!!
Offending Key found: HKLM\System\ControlSet002\Services\nwsapagent !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\F !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{11ab0dd2-0e91-11db-aadf-9bd096c39fa6} !!!
Offending Key found: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{96de0b66-1eeb-11db-be6b-806d6172696f} !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Executable Command Found in F\Name\Shell\AutoRun\command: F:\Autorun.exe
Executable Command Found in {96de0b66-1eeb-11db-be6b-806d6172696f}\Name\Shell\AutoRun\command: F:\Autorun.exe
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\Dokumente und Einstellungen\T***\Lokale Einstellungen\Temporary Internet Files\Content.IE5\TEQT0TQT\scnAVdef12337640[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Programme\QuickTime\QTSystem\QuickTimeAudioSupport.Resources\ko.lproj\QuickTimeAudioSupportLocalized.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 140899
Gefundene Viren: 48
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 306
Dauer des Scans bisher: 02:19:50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 19:07:55,35
Batchende: 19:08:27,40

Editier bitte in Zukunft die Links im HJT-Log, sodass diese nicht anklickbar sind, denn das sieht der Admin nicht so gerne :rolleyes:

Werte diese Dateien mal bei Virustotal aus und poste die Ergebnisse inkl. Angaben zur Dateigröße und Prüfsummen.

Erfahrungsgemäß erzeugt escan leider immer recht viele Fehlalarme, bin mir bei dir aber nicht sicher, ob das wirklich alles welche sind. Mach noch den Check mit Blacklight, dann sehen wir weiter.