|
Hilfe bei Trojaner Backdoor Generic 10.TDZ Hallo nochmal, nun ja, goldene Regeln, tut mir leid da war ich vorhin wohl etwas zu schnell. Gegoogelt hatte ich vorher schon, aber nur verschiedene Dinge gefunden, denselben Trojaner in verschiedenen Dateien, mit Lösungen von einfach Löschen bis format C:.......dann dacht ich mir eben ich brauche speziell hilfe also, inzwischen habe ich weiterer scanns laufen lassen und wieder etwas gefunden mein system is winxp mit allen servicepacks und updates von ms avg (aktuell) hat vorhin in der datei C:windows\system32\dll cache\wupdmgr.dll den Trojaner "Backdoor Generic 10.TDZ" gefunden die Datei wurde inzwischen mit der Windowsdateischutzfunktion neu gemacht. Nachdem mit AVG gelöscht. Mein System ist aber generll selstam, jeder neue scan (Spybot, AVG) findet einen neuen Spywarebefall, den es davor nicht gefunden hatte...obwohl ich nicht mehr in Internet war.... ich wäre sehr froh wenn mir jmd helfen würde....dankeschön schreibt mir einfach jmd bitte welche scans ich machen soll und welche logs posten? |
Hallo mausidavid und http://www.mysmilie.de/generator/ablage/156/257.png Normalerweise sollte die "gutartige" Systemdatei hier liegen -> %system%wupdmgr.exe Versuch mal folgendes: SDFix * Lade das SDFix herunter und speichere es auf deinem Desktop. * Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner auf deinem Desktop zu entpacken. * Starte deinen Rechner neu auf, in den abgesicherten Modus * Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten. * Gib ein Y ein, um den Reinigungsprozess zu beginnen. * Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet. * Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neu aufstarten kann. * Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet. * Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen. * Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Iconen wieder zu laden. * Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern. * Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HijackThis Logfile in deinem nächsten Posting. Malwarebytes' Anti-Malware
(nach dem scannen auf den Button klicken und Funde löschen lassen!) |
danke für die Hilfe also hier das SDfix ergebniss # SDFix: Version 1.237 Run by david on 24.10.2008 at 17:45 Microsoft Windows XP [Version 5.1.2600] Running From: C:\Dokumente und Einstellungen\david\Desktop\SDFix Checking Services : Restoring Default Security Values Restoring Default Hosts File Rebooting Checking Files : No Trojan Files Found Removing Temp Files ADS Check : Final Check : catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, ww.gmer.net Rootkit scan 2008-10-24 17:57:25 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden services & system hive ... scanning hidden registry entries ... scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services : Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" "C:\\Programme\\Opera\\opera.exe"="C:\\Programme\\Opera\\opera.exe:*:Enabled:Opera Internet Browser" "C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour" "C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes" "C:\\Programme\\AVG\\AVG8\\avgemc.exe"="C:\\Programme\\AVG\\AVG8\\avgemc.exe:*:Enabled:avgemc.exe" "C:\\Programme\\AVG\\AVG8\\avgupd.exe"="C:\\Programme\\AVG\\AVG8\\avgupd.exe:*:Enabled:avgupd.exe" "C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000" Remaining Files : Files with Hidden Attributes : Sat 1 Sep 2007 1,572,864 A..H. --- "C:\Dokumente und Einstellungen\david\NTUSER.DAT.bak_jv16pt" Mon 14 Apr 2008 60,416 A.SH. --- "C:\Programme\Outlook Express\msimn.exe" Thu 16 Oct 2008 6,108,728 A..H. --- "C:\Programme\Picasa2\setup.exe" Sat 1 Sep 2007 23 A.SH. --- "C:\WINDOWS\system32\cfcffcff_g.dll" Sat 1 Sep 2007 23 A.SH. --- "C:\WINDOWS\system32\cfcffcff_r.dll" Sat 1 Sep 2007 262,144 A..H. --- "C:\Dokumente und Einstellungen\david\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt" Fri 31 Aug 2007 262,144 A..H. --- "C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt" Fri 31 Aug 2007 262,144 A..H. --- "C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.bak_jv16pt" Finished! # und hier das hijackfile # Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 18:10:16, on 24.10.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Unable to get Internet Explorer version! Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Lavasoft\Ad-Aware\aawservice.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programme\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\slserv.exe C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\notepad.exe C:\WZShutdown\P_zero.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\Programme\Kerkia\Minimem\minimem1.2.exe C:\WINDOWS\System32\svchost.exe C:\Programme\PeerGuardian2\pg2.exe C:\Programme\Digsby\lib\digsby-app.exe C:\Programme\Opera\opera.exe C:\Dokumente und Einstellungen\david\Desktop\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programme\AVG\AVG8\avgssie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Programme\AVG\AVG8\avgtoolbar.dll O4 - HKLM\..\Run: [WZShutdown] C:\WZShutdown\P_zero.exe -hide O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [Minimem] C:\Programme\Kerkia\Minimem\minimem1.2.exe O4 - HKCU\..\Run: [PeerGuardian] C:\Programme\PeerGuardian2\pg2.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: digsby.lnk = C:\Programme\Digsby\digsby.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre6\bin\jp2iexp.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - ://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programme\AVG\AVG8\avgpp.dll O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\Skype4COM.dll O20 - AppInit_DLLs: avgrsstx.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programme\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod Service - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 4500 bytes # so erstmal das, bevor es verlorengeht, malwarebytes lasse ich jetzt durchlaufen, poste dann sofort. Was mir noch aufgefallen ist, das ich den Pc nicht mehr herunterfahren kann.....ich klicke, warte 2min nichts passiert, geht nur noch mit langem Drücken auf den Aus/An schalter....und insgesamt ist er auch langsamer die letze Zeit, bleibt zwischendurch 10sec, hängen... bis dann danke ps das mit dem code, verstehe ich nicht ganz...habe doch # gemacht? aber es hat sich nichts verändert.... |
so hier noch das malwarebiteslog Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1313 Windows 5.1.2600 Service Pack 3 24.10.2008 22:35:31 mbam-log-2008-10-24 (22-35-31).txt Scan-Methode: Vollständiger Scan (C:\|) Durchsuchte Objekte: 124611 Laufzeit: 3 hour(s), 53 minute(s), 41 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 1 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) hat lange gebraucht, und einwas gefunden.... gute nacht schonmal... |
Also, wie sich gerade herausgestellt hat in einem anderen Thread, handelt es sich bei der bemängelten Datei um einen Fehlalarm seitens AVG! Dein System sollte somit also clean sein.. :daumenhoc |
das klingt super..... :) dann kann ich beruhigt, schlafen, und weiss wo ich mich bei ernsten Problemen hinwenden kann... danke für die Hilfe...! hoffentlich nerve ich nicht...aber was ist deiner Meinung nach die beste kostenlose Sicherheitsvariante? Also Virenscanner, Malware Spywarescanner usw? |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:33 Uhr. |
Copyright ©2000-2025, Trojaner-Board