Trojaner-Board - ich habe mich Wahrscheinlich Infiziert!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ich habe mich Wahrscheinlich Infiziert! (https://www.trojaner-board.de/72245-habe-mich-wahrscheinlich-infiziert.html)

ich habe mich Wahrscheinlich Infiziert!

Guten tag!
als ich heute nach langer "afk" zeit zurück an den pc kam , ins Ts schaute.
stand dort das mir ein "freund" (der name) eine datei gesendet hätte(den link).
ich bin so dumm und klicke den.danach ging ich zu dem freund aber der meinte er hätte mir das nie gesendet, und wäre zu dieser uhrzeit garnicht online gewesen.
die datei hatte einen komische namen und ein "bilder" icon...
ich war so dumm und klickte es an, dann öffnete sich schnell ein dos fenster (wie die cmd console) und schloss sich. da wusste ich ich war infiziert......

nun habe ich bangen um meinem Pc .....

Virustotal

bin gerade dabei Anti Avira durchlaufen zu lassen , danach vll mal
Malwarebytes' Anti-Malware.
ich wäre froh wenn ihr mir helfen würdet.

Greez Shadow xXx

Das war wirklich sehr unüberlegt, aber lässt sich nicht mehr ändern. Lass erstmal die Scans durchlaufen und poste die Ergebnisse hier.

mfg, Kaos

Meinst du nun avira antivir? und Malwarebytes' Anti-Malware. ?
wenn jam denke avira wird nichts finden.
sollte ich noch anderes wie Highjackthis durchlaufen lassen?

Greez Shadow xXx

Ja genau. HijackThis kannst du auch mal laufen lassen, um einen groben Überblick zu bekommen.

so, das kann ich schonmal schicken.
avira läuft noch....bitte nicht wundern.

HijackThis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:37:50, on 20.04.2009

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\nvsvc32.exe

D:\Programme\Franzis\Alcohol Virtual CD + DVD\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Programme\Java\jre6\bin\jucheck.exe

D:\Programme\Teamspeak2_RC2\TeamSpeak.exe

C:\Programme\Mozilla Firefox\firefox.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avcenter.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe

D:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [WinampAgent] D:\Programme\Winamp\winampa.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [Vidalia] "D:\Programme\Vidalia Bundle\Vidalia\vidalia.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [VoipStunt] "D:\Programme\VoipStunt.com\VoipStunt\VoipStunt.exe" -nosplash -minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe

O16 - DPF: {EAEFAD15-8753-45EF-94B0-1BAA7970CC21} (pmpeg4cam Class) - http://193.138.213.169/MpegInst.cab

O16 - DPF: {F3D4C08D-3616-43F0-9E29-44C749B0664B} (pmjpegcam Class) - http://193.138.213.169/JpegInst.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\System32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Franzis\Alcohol Virtual CD + DVD\StarWind\StarWindService.exe
 

--

End of file - 4871 bytes

Greez Shadow xXx

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Hast du keine Servicepacks installiert? :eek:

ja... da gibts so ein problem.
Beratet ihr hier auch welche die aus einem bestimmten grund nicht an sp1 rankommen.....?

Greez Shadow xXx

Kommt drauf an, wieso kommst du nicht ans Sp1? Wozu Sp1, es gibt Sp3!

also, sp3 hörte ich hat viele fehler noch, sp2 sagt eine gute quelle ist schlecht wenn man oft Zockt, und sp1 das ist das was ich dann bräuchte, aber mit meinem windows ist da n prob.
das schreibe ich dir vorerst mal per pm...

Greez Shadow xXx

so, gerade gemerkt der hat Taskmanager ausgeschalten,
der hat das mit einem programm like Prorat gemacht, wenn ich das hätte könnte ich den troja / server vll. löschen.

.......
Greez Shadow xXx

SP3 hatte fehler, als es noch der inoffizielle Release war, das habe ich damals getestet und musste neuinstallieren, weil Windows sehr instabil wurde, auch beim 2ten testen. Allerdings ist es inzwischen alles andere als Fehlerhaft, sondern sehr wichtig, wenn man online geht. Ich habe mit dem SP2 bei Spielen nie irgendwelche Probleme gehabt, dann eher ohne. SP3 denke ich wird nicht anders sein, ich habe momentan keine Spiele installiert. Aber ich diesbezüglich von keinen Problemen gehört.

Alles andere habe ich dir bereits im der PM geschrieben.

Mehr als den Taskmanager scheint er nicht zu deaktivieren, ich sag bescheid, wenn ich mehr weiß. Mach du erstmal den Malwarebytes scan und schicke den Report. Die Funde löschen lassen, sollte mindestens einer sein. Danach geht der Taskmanager auch wieder.

naja weiss nicht ob er das finden wird,
das was ich aufm pc habe ist das was man mit "prorat" machen kann.
das problem nur mit dem erstellerprogramm kann man den "server" löschen....

Greez

so "Malwarebytes' Anti-Malware" fand etwas, und hat es "Eliminiert" , hoffe ganz.
der Task manager geht nun wieder auf ;) jeha!

Code:

Malwarebytes' Anti-Malware 1.36

Datenbank Version: 1951

Windows 5.1.2600 
 

21.04.2009 01:06:41

mbam-log-2009-04-21 (01-06-36).txt
 

Scan-Methode: Vollständiger Scan (C:\|D:\|)

Durchsuchte Objekte: 248063

Laufzeit: 1 hour(s), 9 minute(s), 43 second(s)
 

Infizierte Speicherprozesse: 0

Infizierte Speichermodule: 0

Infizierte Registrierungsschlüssel: 0

Infizierte Registrierungswerte: 0

Infizierte Dateiobjekte der Registrierung: 1

Infizierte Verzeichnisse: 0

Infizierte Dateien: 0
 

Infizierte Speicherprozesse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Speichermodule:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungsschlüssel:

(Keine bösartigen Objekte gefunden)
 

Infizierte Registrierungswerte:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateiobjekte der Registrierung:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.
 

Infizierte Verzeichnisse:

(Keine bösartigen Objekte gefunden)
 

Infizierte Dateien:

(Keine bösartigen Objekte gefunden)

"\DisableTaskMgr"
hoffe er ist weg,und ich überlege demnächst was ich tuhe.
Danke Dir Kaos.

Greez Shadow xXx

€dit:wie änder ich das Prefix?,
achja und Gn8 an alle .

Der macht noch einiges mehr, als nur den Taskmanager deaktivieren. Schicke mal die Datei an Avira zur analyse.

Das Ding werkelt in der Registrierung rum und erstellt neue Dateien.

Ich würde mal sagen es sieht schlecht aus.