|
Trojan.Agent und Backdoor.bot Hallo, ich versuche es nun hier noch mal mit erhoffter Hilfe. Habe schon eine Weile 2 Trojaner drauf...Einmal Trojan.Agent und Backdoor.bot.Bislang konnte nur Malwarebytes diese erkennen, aber sie tauchen natürlich nach dem löschen immer wieder auf.Gestern konnte Vista nicht mal mehr starten, als Fehlermeldung nach reparieren kam;ein Patch verhintert dies, ich nehm an, dass es der Trojaner ist????????Ich hoffe die Infon reichen aus?? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:54:04, on 27.01.2010 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18385) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Windows\System32\mobsync.exe C:\Windows\system32\wuauclt.exe C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe C:\Program Files\Mozilla Firefox\firefox.exe C:\Users\saskia\Downloads\HiJackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.prosieben.de/index.php?icqpath=icq R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://de.search.yahoo.com/search?fr=mcafee&p=%s R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\Windows Live Toolbar\msntb.dll O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program Files\Google\Google Toolbar\GoogleToolbar_32.dll O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [ Malwarebytes Anti-Malware (reboot)] "C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKCU\..\Run: [userinit] C:\Users\saskia\AppData\Roaming\sdra64.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O8 - Extra context menu item: &Windows Live Search - res://C:\Program Files\Windows Live Toolbar\msntb.dll/search.htm O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx O8 - Extra context menu item: Google Sidewiki... - res://C:\Program Files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_60D6097707281E79.dll/cmsidewiki.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Program Files\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6.5\ICQ.exe O13 - Gopher Prefix: O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://games.icq.com/online/online2/...ploader_v6.cab O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe (file missing) O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Unknown owner - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe (file missing) O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing) O23 - Service: Google Update Service (gupdate1ca026221051141) (gupdate1ca026221051141) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe O23 - Service: Google Software Updater (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe |
Warum wird hier einen denn nicht geholfen? Seit 10 Jahren=??!:nixda::nixda::nixda::nixda::nixda: |
Immer ganz ruhig bleiben Sandy das Kompetenzteam wird sicher bald antworten ich musste auch lange warten mit meinem Problem. Die melden sich schon bald bei dir! |
was Du auf alle Fälle tun kannst um die Sache etwas zu beschleunigen ist, den Scanbericht von Malwarebytes zu posten, damit die Kompetenzler u.a. sehen können welche Dateien infiziert sind |
Ok, ich warte, was bleibt mir auch übrig:( Hab im Übrigen schon viele dergleichen Themen hier gefunden, nur nicht verstanden.also , ob mir wirklich geholfen werden kann????:D |
Mit dem post von Malwarebytes biste schon gut dabei wenn du den postest und am besten nutze die links die cosinus bei mir gepostet hat mit rsti und malwarebytes. schau da mal vorbei und am besten schau dir die liste auch nochmal an!!! |
Seltsamerweise scheint der Trojan.agent weg zu sein, aber 2 andere sind neu, kann mir aus den nichts nehmen... Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3608 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.18882 27.01.2010 20:35:56 mbam-log-2010-01-27 (20-35-56).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 307393 Laufzeit: 43 minute(s), 6 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 1 Infizierte Registrierungswerte: 1 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 1 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> Quarantined and deleted successfully. Infizierte Registrierungswerte: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\userinit (Spyware.Passwords) -> Quarantined and deleted successfully. Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Users\saskia\AppData\Roaming\sdra64.exe (Spyware.Passwords) -> Quarantined and deleted successfully. |
Zitat:
nach einer Infektion ist es immer das sicherste und beste zu formatieren und neuaufzusetzen. Lese dir dazu diese Links in Ruhe durch: http://www.trojaner-board.de/75622-d...ittierung.html http://www.trojaner-board.de/75455-b...mitierung.html http://www.trojaner-board.de/51262-a...sicherung.html Dein System hat weitere aktive Infektionen: Zitat:
lg. |
Das wollte ich aber vermeiden, sonst hätte ich es ja schon längst getan. Den anderen konnte doch auch geholfen werden:( Wie find ich dies denn, das ich sehen könnte was es ist, nicht das es sich in Sachen mit rein gehangen hat die ich dann wieder drauf legen will...bis roaming komm ich, aber wo find ich sdra.exe? O4 - HKCU\..\Run: [userinit] C:\Users\saskia\AppData\Roaming\sdra64.exe |
Auch wenn ich hier alleinunterhalter mache, aber ich habe gerade noch mal malware durchlaufen lassen und es wurde nichts gefunden!^^Wie kann das sein????????????Ich häng echt an dem Ding schon seit paar Wochen, hat es was mit den Explorer update zu tun?:balla: Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3608 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.18882 27.01.2010 22:56:20 mbam-log-2010-01-27 (22-56-20).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 307556 Laufzeit: 54 minute(s), 2 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) |
Update MalwareBytes und scanne nochmal Datenbank Version: 3608 meins Datenbank Version: 3647 TFCleaner Download TFC.exe by OldTimer zum Desktop Schliesse alle Fenster und doppelklick TFC.exe um das Programm zu starten Vista benutzer: rechtermausklick auf TFC.exe und waehle "Run as an Administrator" Lasse Temp File Cleaner seine Arbeit tun Am Ende wird dein Rechner neu starten,wenn nicht starte manuell neu ComboFix © (by sUBs) Download ComboFix © by sUBs und speichert es auf den Desktop! Waehrend ComboFix runter geladen wird aendere Combofix um in cofi.exe und nicht nachher wenn CF schon auf dein Rechner steht http://www.imgdumper.nl/uploads2/4b5...4719a-cofi.jpg Note:Wenn wehrend du ComboFix runterlaedst oder anwendet ein Meldung deines Virenscanner kommt oder ein anderen Realtime scanner Schalte diese scanner dann aus und download ComboFix erneut Es gibt scanner die bestimmte komponente die durch CF benutzt werden als verdaechtig ansehen und versucht sie zu blokkieren oder zu entfernen Starte combofix.exe Note:Vista Um Combofix unter Vista(32 Bit) nutzen zu koennen muss man es als Administrator starten. Also rechte Maustaste auf die Combofix.exe und "Als Administrator ausfuehren" waehlen. Folge den Instruktionen in das Fenster Wenn ComboFix schon vorher benutzt worden ist kann es sein das du eine Meldung bekommst das es ein Update gibt Erlaube diesen Update und klicke OK im "NirCmd“ fenster klicke nach ablauf auf "ja“um den Scan zu starten Während Combofix lauft NICHT ins Fenster klicken sonst erfriert dein Rechner Wenn das Tool fertig ist,oeffnet sich ein logfile (C:\ combo-fix.txt) nun das KOMPLETTE Log mit rechtem Mausklick ab kopieren und ins Forum mit rechtem Mausklick "einfügen" Befolge diese Anleitung |
Malwarebytes' Anti-Malware 1.44 Datenbank Version: 3647 Windows 6.0.6001 Service Pack 1 Internet Explorer 8.0.6001.18882 28.01.2010 10:21:44 mbam-log-2010-01-28 (10-21-44).txt Scan-Methode: Vollständiger Scan (C:\|D:\|) Durchsuchte Objekte: 308115 Laufzeit: 47 minute(s), 50 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Den Rest muss ich noch machen.Schon einen Hinweis für mich , warum auf einmal der Scan sauber ist????Bin immer noch verplüfft:) Wieso steht da eigentlich service Pack 1? Ich hatte die 2 installiert!?Kann das durch die Vista Reperatur wieder weg sein? |
ja bei einer Reperaturinstallation wird das System wieder auf den Stand gebracht, der auf der Installations-CD ist. Du solltest das aktuellste Service Pack auf jeden Fall gleich wieder draufmachen |
Eure Uhr geht irgendwie falsch!^^ Und wenn ich den Trojaner immer noch drauf habe und er wieder den Star von Windows verhindert? Ich denk es ist besser, wenn ich es wieder drauf mache, wenn der Pc wirklich sauber ist....Ist es zu empfehlen von Vista auf Xp umzustellen?? |
Wie kann ich dies denn auf den Tesktop speichern und umschreiben?Wenn ich den Link anklicke lädt es gleich in meine Downloads runder und von da installiert es ohne dass ich eingreifen könnte... |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 04:44 Uhr. |
Copyright ©2000-2025, Trojaner-Board