Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Dringende Hilfe! Pc infiziert durch Trojaner. (https://www.trojaner-board.de/69834-dringende-hilfe-pc-infiziert-trojaner.html)

Zonguldak 10.02.2009 04:50
Dringende Hilfe! Pc infiziert durch Trojaner.
 
Hallo erstmal und jetzt schonmal ein Dank für die Hilfe.

Mein Problem liegt darin, das ich mein Pc wie immer laufen gelassen hab und arbeiten war.
Wo ich wieder da war, war das Bild eingefroren und in der taskleiste nur ad-aware, spybot etc. gestartet war.
Hab 1-2 mal aus und eingeschaltet, bis ganz groß Warning aufm Desktop stand und das mein System infiziert worden sei.
Wollt antivir durchlaufen lassen, aber der stürzte ab sobald es den Trojaner fand (Tr/crypt.xpack.gen).
Da ich null Ahnung habe, hab ich den Pc vom Internet getrennt und poste per iPhone, deswegen Rechtschreibfehler bitte nicht übel nehmen...

Was muss ich tun?

Danke im vorraus

Mfg

Zonguldak 10.02.2009 05:19
WARNING
Dangerous Spyware
many viruses were found on your computer such as : Trojan horse,
PassCapture, etc.
Your personal information can fall into in the " third hands".

please check up the computer with a special software.
Thank



Also das steht aufm Desktop!
Hoffe meine erklärung, meines Problems war einigermaßen übersichtlich.

Danke

Alex.wenz. 10.02.2009 05:31
hallo
ist das der hier

http://www.precisesecurity.com/image...us-spyware.jpg

Zonguldak 10.02.2009 05:38
Ja genau der =(

Alex.wenz. 10.02.2009 07:15
Falls das dieser sein sollte musst du wie folgt vorgehen.

Falls du die unten geschriebene Anleitung nicht durchführen kannst zwecks der System Abstürze wehre es not wendig Eine "live CD" = Cd mit einem Bootbarem Betriebssystem + Antivirusprogramm zu laden

Computerzeitschrift CTKnoppicillin Download-Edition 6.0.2 Deutsch, Download im heise Software-Verzeichnis
dies wird kostenlos anboten Hier:
Von GdataTools - G DATA
Computerbild Notfall CD "Kaspersky" COMPUTER BILD-Notfall-CD - Download - COMPUTER BILD
Antivir (meine Empfehlung) Avira AntiVir Rescue System
Dr.Web Dr.Web LiveCD is a software product that features a standard, Dr.Web scanner

ISO Datein mit einem gänigen BrennProgramm wie Nero oder
iso burrn(Freeware) auf CD brennen. PC neustart .Und dann von CD booten lassen und scanne




Anleitung:
Benötigte Programme:
  • Malwarebytes' Anti-Malware
  • ccleaner

diese Programme sind alle freeware und somit Kostenlos zum downloade bereit.

Also nun hast du die Programme geladen und installiert

zuerst musst du den CCleaner starten Analysieren warte ( Firefox und IEexplorer müssen geschlossen sein)
dann auf starte CCleaner

http://www.bilder-hochladen.net/files/7oi2-9.jpg
dann auf ok
http://www.bilder-hochladen.net/files/7oi2-a.jpg

Danach öffnest du Malwarebytes' Anti-Malware und lässt es updaten
nun wieder die Schaltfläche Scanner und den vollständigen scann
durch führen lassen gefundene Viren oder Trojaner löschen

so nun nochmal Dein Antivir darüber laufen lassen und es müsste geschafft sein.

http://www.bilder-hochladen.net/files/thumbs/7oi2-c.jpg
Rechtschreibung bitte ebenfalls ignorieren ich habe LRS;)

Zonguldak 10.02.2009 17:09
Danke, für die recht schnelle und präzise antwort, hab es soweit mal hinbekommen und denke das ich alles los bin!?!

Ich hatte aber nicht nur 1 Trojaner, sondern mein komplettes system war damit verseucht...
Hatte auch hijack blabla und solche sachen drin =(

Aber ich check grad alles mit antivir, zu guter letzt durch und der hat bei 40% noch nichts gefunden (6 warnungen) !

Mfg Gökhan

Alex.wenz. 10.02.2009 17:26
Hole dir bitte trotzdem Malwarebytes' Anti-Malware das ist ein super Programm und in Kombination mit Spybot-S&D fast unschlagbar.

Zonguldak 10.02.2009 18:26
Ich habe deine Schritte verfolgt, also hab ich Malwarebytes...
Hab auch spybot drauf, nur findet mein antivir grad noch paar trojaner, die der malwarebytes gaub nciht weg gekriegt hat.

Tr/Spy.gen z.b

So verseucht kann mein system doch gar nicht sein =(
Sollte ich Xp viell. neu drauf machen?

Zonguldak 10.02.2009 18:31
Ah da wär noch was, jedesmal wenn ich bei Google einen link an klicke komm ich auf eine porno seite (porntube)...???

Auch ein virus?

Alex.wenz. 10.02.2009 18:36
wie oben schon geschrieben ist eine "live CD" vielleicht angebracht. Die aller beste ist nach meiner Auffassung die knoppicillin 7 die enthällt mehre Virenscanner , ist aber nur im Heft der zeitschrift c't (Software-Kollektion 8/2008, c't 26/2008) zu erhalten des wegen halt die Antivir (meine Empfehlung) Avira AntiVir Rescue System denn die ist kostenlos downloadbar

Zonguldak 10.02.2009 18:47
Ok ich guck mal, wenn ich es bis morgen nicht schaff, es irgendwie in den griff zu bekommen...muss ich es wohl oder übel so machen.
Ich danke dir echt und wenn ich weiterhin probleme hab, dann meld ich mich wieder!

Mfg Gökhan

Alex.wenz. 10.02.2009 18:50
hm das mit Google sind anzeichne dafür das der Virus noch nicht richtig entfernt ist.

Bitte lade dir mal SmitfraudFix http://siri.urz.free.fr/Fix/SmitfraudFix.exe und speicher es auf C:
"bei diesen programm kann es sei das dein Antiviren Programm anspringt das ist aber normal "

Ahhhm weist du wie man den PC im abgesiechten Modus startest wenn ja ist gut.


wenn nicht
musst du bevor Windows startet also direkt nach dem bios die taste F8 drücke und dann im Abgesicherten Modus auswählen.

Zonguldak 10.02.2009 18:53
Also soll ich jetzt im abgesicherten modus starten und dieses programm laufen lassen?
Wenn ja wie geh ich in diesem program vor?

Jig Saw 10.02.2009 18:54
Vielleicht wirds mit der Anleitung klar:

SDFix anwenden:
  • Lade das SDFix von AndyManchesta herunter und speichere es auf deinem Desktop.
  • Bennene die Datei in asdf.com um. Mach einen Doppelklick auf die Datei SDFix.exe, wähle installieren, um das Programm in seinen eigenen Ordner in C:\ zu entpacken:
    http://img.bleepingcomputer.com/swr-...ix-install.jpg
  • Starte deinen Rechner neu, diesmal in den abgesicherten Modus <= Hinweise beachten!
  • Öffne den neu entstandenen SDFix Ordner, mach einen Doppelklick auf die RunThis.bat, um das Skript zu starten.
  • Gib ein Y ein, um den Reinigungsprozess zu beginnen.
  • Das Programm wird alle Trojaner Dienste und die dazugehörigen Registrierungseinträge löschen, die es findet.
  • Nun wirst du darum gebeten, eine Taste zu drücken, damit dein Rechner neustarten kann.
  • Drücke auf eine Taste. Jetzt wird dein Rechner neu aufgestartet.
  • Wenn der Rechner neu aufgestartet ist, wird das Fixtool nocheinmal laufen, um den Reinigungsprozess zu vervollständigen.
  • Wenn das Programm angibt, dass es beendet ist (Finished), drücke wieder auf irgendeine Taste, um das Skript zu beenden und deine Desktop Icons wieder zu laden.
  • Wenn die Desktop Icons wieder da sind, wird das Skript ein Fenster öffnen und das Ergebnis als einen Report.txt im Ordner SDFix speichern.
  • Kopiere den Inhalt dieses Report.txt und poste ihn, zusammen mit einem neuen HiJackThis Logfile in deinem nächsten Posting.

Zonguldak 10.02.2009 19:13
Also ich habs grad mal versucht, aber ich komme nicht in die Auswahl um im Abgesicherten Modus zu starten, sondern in Boot menü und da kann ich entweder die festplatte oder Cd-Rom auswählen.
Wenn ich die Sata auswähle startet Windows wieder!

Was muss ich machen?

Zonguldak 10.02.2009 21:05
So habs am schluss doch hinbekommen, also das ist der report von SDFix:

Code:
SDFix: Version 1.240
Run by Administrator on 10.02.2009 at 19:46

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting


Checking Files :

Trojan Files Found:

C:\adware.exe - Deleted
C:\new.exe - Deleted





Removing Temp Files

ADS Check :
 


                                Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-10 20:49:45
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000a3a55194d]
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000a3a55194d]

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully
hidden processes: 0
hidden services: 0
hidden files: 0


Remaining Services :




Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\ICQ6\\ICQ.exe"="C:\\Programme\\ICQ6\\ICQ.exe:*:Enabled:ICQ6"
"C:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe"="C:\\Programme\\World of Warcraft\\WoW-1.12.0-deDE-downloader.exe:*:Enabled:Blizzard Downloader"
"C:\\WINDOWS\\system32\\dpvsetup.exe"="C:\\WINDOWS\\system32\\dpvsetup.exe:*:Enabled:Microsoft DirectPlay Voice Test"
"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:Eine DLL-Datei als Anwendung ausfhren"
"C:\\Programme\\Microsoft LifeCam\\LifeCam.exe"="C:\\Programme\\Microsoft LifeCam\\LifeCam.exe:*:Enabled:LifeCam.exe"
"C:\\Programme\\Microsoft LifeCam\\LifeExp.exe"="C:\\Programme\\Microsoft LifeCam\\LifeExp.exe:*:Enabled:LifeExp.exe"
"C:\\Programme\\Valve\\Steam\\SteamApps\\gstyles84\\counter-strike source\\hl2.exe"="C:\\Programme\\Valve\\Steam\\SteamApps\\gstyles84\\counter-strike source\\hl2.exe:*:Enabled:hl2"
"C:\\Programme\\iMesh Applications\\iMesh\\iMesh.exe"="C:\\Programme\\iMesh Applications\\iMesh\\iMesh.exe:*:Enabled:iMesh"
"C:\\Programme\\Messenger\\msmsgs.exe"="C:\\Programme\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"
"C:\\Programme\\iTunes\\iTunes.exe"="C:\\Programme\\iTunes\\iTunes.exe:*:Enabled:iTunes"
"C:\\Programme\\Senstic\\Air Cam\\AirCamWin.exe"="C:\\Programme\\Senstic\\Air Cam\\AirCamWin.exe:*:Enabled:Air Cam Live Video - PC Control"
"C:\\Programme\\Bonjour\\mDNSResponder.exe"="C:\\Programme\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"
"C:\\Programme\\Tortun\\gui.exe"="C:\\Programme\\Tortun\\gui.exe:*:Enabled:gui"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"
"C:\\Dokumente und Einstellungen\\G”khan\\Lokale Einstellungen\\Temp\\Blizzard Launcher Temporary - 8c6a35c0\\Launcher.exe"="C:\\Dokumente und Einstellungen\\G”khan\\Lokale Einstellungen\\Temp\\Blizzard Launcher Temporary - 8c6a35c0\\Launcher.exe:*:Enabled:Blizzard Launcher"
"C:\\WINDOWS\\system32\\wsncs.exe"="C:\\WINDOWS\\system32\\wsncs.exe:*:Enabled:WSCNS"
"\\??\\C:\\WINDOWS\\system32\\winlogon.exe"="\\??\\C:\\WINDOWS\\system32\\winlogon.exewinlogon.exe:*:Enabled:WSCNS"
"C:\\WINDOWS\\Explorer.EXE"="C:\\WINDOWS\\explorer.exe:*:Disabled:Windows Explorer"
"C:\\Programme\\Skype\\Phone\\Skype.exe"="C:\\Programme\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"
"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"
"C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Programme\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"
"C:\\Programme\\Windows Live\\Messenger\\livecall.exe"="C:\\Programme\\Windows Live\\Messenger\\livecall.exe:*:Enabled:Windows Live Messenger (Phone)"

Remaining Files :


File Backups: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes :

Wed 22 Oct 2008      949,072 A.SHR --- "C:\Programme\Spybot - Search & Destroy\advcheck.dll"
Mon 15 Sep 2008    1,562,960 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDHelper.dll"
Mon  7 Jul 2008    1,429,840 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SDUpdate.exe"
Mon  7 Jul 2008    4,891,472 A.SHR --- "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
Tue 16 Sep 2008    1,833,296 A.SHR --- "C:\Programme\Spybot - Search & Destroy\TeaTimer.exe"
Wed 22 Oct 2008      962,896 A.SHR --- "C:\Programme\Spybot - Search & Destroy\Tools.dll"
Wed 20 Dec 2006            0 A.SH. --- "C:\Dokumente und Einstellungen\All Users\DRM\Cache\Indiv02.tmp"
Tue 10 Feb 2009            72 A..H. --- "C:\Programme\Common Files\X10\Common\x10prod.sys"
Fri  2 May 2008    3,493,888 A..H. --- "C:\Dokumente und Einstellungen\G”khan\Anwendungsdaten\U3\temp\Launchpad Removal.exe"
Wed 27 Sep 2006            72 A..H. --- "C:\recover\Programme\Common Files\X10\Common\x10prod.sys"

Finished!

Und das von hijackthis:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:54:48, on 10.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft LifeCam\MSCamS32.exe
C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\vVX3000.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe
C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDCountdown.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDPOP3.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDClock.exe
C:\Programme\XpertVision\TBPanel.exe
C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\Applets\LCDMedia.exe
C:\Programme\Schmads Inc\G15_TeamSpeak\G15_TeamSpeak.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\Gökhan\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://travian.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: Google Dictionary Compression sdch - {C84D72FE-E17D-4195-BB24-76C02E2E7C4E} - C:\Programme\Google\Google Toolbar\Component\fastsearch_219B3E1547538286.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Programme\Yahoo!\Companion\Installs\cpn\YTSingleInstance.dll
O3 - Toolbar: &Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar.dll
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [LifeCam] "C:\Programme\Microsoft LifeCam\LifeExp.exe"
O4 - HKLM\..\Run: [VX3000] C:\WINDOWS\vVX3000.exe
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Gemeinsame Dateien\Logitech\LCD Manager\lcdmon.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Gemeinsame Dateien\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Gainward] C:\Programme\XpertVision\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [NVIDIA nTune] "C:\Programme\NVIDIA Corporation\nTune\nTuneCmd.exe" clear
O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - C:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {34635AA6-B593-4F06-9EDD-5FF60FC13310} (Speaky Chat) - http://download.speakyweb.com/speakyldr.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: nTune Service (nTuneService) - NVIDIA - C:\Programme\NVIDIA Corporation\nTune\nTuneService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Windows Server Network Colocation Service (WSNCS) - Unknown owner - C:\WINDOWS\system32\wsncs.exe (file missing)
O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

--
End of file - 10560 bytes

Hoffe das hilft um genaueres zu sagen, aber sobald ich mit alles fertig war hat antivir, wieder ein TR gefunden (TR/Dldr.FakeAler.IM)

Danke nochmals für die ganze mühe, ich krieg sogar schon Kopfweh von dem ganzen =(

Mfg Gökhan

Zonguldak 11.02.2009 05:22
Wäre nett, wenn sich das mal einer angucken würd...

Mfg

Zonguldak 11.02.2009 14:58
So nun werd ich Xp komplett neu drauf haun!
Ich seh da keine andere Lösung mehr...

Kann mir einer zu meinen logs noch was sagen?
Oder ob es durch eine ganz normale neu aufsetzung des Systems behoben werden kann (trojaner), oder sind die dann noch drauf?

Jig Saw 11.02.2009 15:02
Neuaufsetzen ist die sicherste Methode im vergleich zur Bereinigung.

mach das einfach was in dieser Anleitung steht, beachte besonders die letzten Punkte:
http://www.trojaner-board.de/51262-a...sicherung.html

formatiere alle Partitionen


Wenn du Neuaufsetzt dürften die netten Dinger nicht mehr drauf sein, jeden falls wenn du es richtig machst.


Alle Zeitangaben in WEZ +1. Es ist jetzt 11:59 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19