|
Hilfe! Hallo zusammen, ich brauche noch mal Hilfe: Vergangene Woche hat sich bei mir ein Trojaner eingeschlichen der sich bemerkbar machte, indem sich meine IE-Startseite (Win XP, SP2) blitzplötzlich änderte und nimmer zurückstellen ließ. Weder Norton noch Spybot konnten ihn ausfindig machen. Was geschah und ich unternahm: 1) Hijackthis-log erstellt und Einträge gefixed, welche die neue Startseite enthielten, siehe: http://www.trojaner-board.de/showthread.php?t=9282 Beim Neustart war sie wieder da. 2)Norton deinstalliert, XP-Firewall abgestellt, im abgesicherten Modus hochgefahren, eScan installiert, welches einen Trojaner ausfindig machen und löschen konnte, eScan am System gelassen. 3) Der PC ließ sich daraufhin im normalen Status nicht mehr booten! 4) eScan im abgesicherten Modus wieder deinstalliert, neuer Normal-Bootversuch klappt. eScan dort wieder installiert, PC geckeckt, neuer Virus gefunden und gelöscht, aber Neustarten wieder nicht möglich. 5) eScan im AM wieder deinstalliert. 6) im NM Systemwiederherstellung auf allen Laufwerken deaktiviert, IE – Sicherheitsupdate durchgeführt, in den Optionen des IE das „eeren des Ordners Temporary Internet Files beim Schließen des Browsers“aktiviert sowie Temporäre Files und Cookies mittels XP-Clean gelöscht, unter Start > Ausführen des Befehls services.msc den Dienst „Remote-Registrierung“ deaktiviert, Opera und Kaspersky installiert, Systemcheck durchgeführt, einen Virus gelöscht. 7) Im AM nochmaliger Systemcheck ohne Viruserkennung, auch nicht mit Spybot, nur tauchen plötzlich Kennwort-geschützte Ordner auf? XP-lean findet einige registries, die nur wenig bedenklich seien….Das Ändern der IE-Startseite sei nicht möglich… aber das hatte ich selbst aktiviert. Erstellen eines neuen Hijackthis-logs (siehe Anhang), der laut automatischer Auswertung OK ist! 8) ABER: Booten im NM wieder nicht möglich! 9) Aktuell: Kaspersky im AM deinstalliert um den NM wieder starten zu können, Kaspersky wieder installiert. Kein Virus gefunden, bloß wieder Kennwort-geschützte Ordner, die ich nicht löschen kann. Weiß nimmer, was ich noch tun kann?! Bitte um Hilfe! Danke, s+l |
Hijack - Logfile Logfile of HijackThis v1.98.2 Scan saved at 21:34:18, on 18.11.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\beate\LOKALE~1\Temp\Rar$EX01.226\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.orf.at/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = http://www.orf.at/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=80.108.252.196:3128;gopher=80.108.252.196:3128;http=80.108.252.196:3128;https=80.108.252.196:3128;socks=80.108.252.196:1080 R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = 80.108.252.196;127.0.0.1;localhost;<local> O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe O4 - HKLM\..\Run: [KAVPersonal50] C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [a²] "C:\Programme\a2\a2guard.exe" O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [a-squared] "C:\Programme\a2\a2guard.exe" O4 - Startup: PowerReg Scheduler V3.exe O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1093027137464 O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/SSC/Sha.../bin/cabsa.cab |
@ obwohl dein logfile grasgrün ist, wenn ich das hier anschaue, kann ich dir nur dringenst raten neu auf zu setzen. Auch mehrere Antiviren-,Antitrojaner- und firewalls neben einander laufen zu lassen macht nur poblemen. hast du seit dein letzes posting von 07.11 dein system neu aufgesetzt? chaosman |
hei chaosman, was da unter dem link angegeben ist, ist eigtl, belanglos, denn das waren nur sicherheitsbackups von norton, die er von beginn an in einem sicheren ordner hinterlegt hatte. ich wusst nämlich anfangs nicht, dass XP dermaßen netz-unsicher ist und hatte VOR installation von norton internetzugang.... daher die ganzen virenauflistungen. ernst zu nehmen ist das neue hijack-this-log. nein, ich hab das system nicht neu aufgesetzt, weil ich dachte, den trojaner entfernt zu haben. z.zt. hab ich die XP-firewall an und kaspersky installiert. allerdings darf ich letzteren nicht am system lassen, wenn ich beim nächsten boot wieder den NM starten will...... |
Hallo soleluna, Dein neues Logfile ist völlig unerheblich und spielt keinerlei Rolle. Schau mal hier: 9282 Zitat:
Ich halte Deinen Rechner für kompromittiert und absolut unsicher. Ich kann Dir nur empfehlen, Dein System zu formatieren, Cidre's Rat zu beachten und das System neu aufzusetzen: Entfernung von Schädlingen und Kompromittierung unvermeidbar? SD |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 17:24 Uhr. |
Copyright ©2000-2025, Trojaner-Board