Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung
Ich kann Trojaner nicht loswerden.

Ich kann Trojaner nicht loswerden.


Log-Analyse und Auswertung: Ich kann Trojaner nicht loswerden.

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.XML

Antwort
Alt 12.02.2009, 11:26   #1
j.krasen
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.


hallo board,
ich bin neu hier, habe wenig ahnung und ein problem:
seit gestern schlägt bei jedem hochfahren mein avira antivir an: es geht um 4 objekte im system32. txsocom32.dll, frnscli32.dll. ich habe schon im abgesicherten modus gescannt, das problem war beim erneuten hochfahren wieder da. wer weiß rat?
gruß: j.krasen

Alt 12.02.2009, 11:48   #2
coolrunning
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.


poste bitte ein hjk log nach dieser anleitung erst dann kann dir jemand helfen

http://www.trojaner-board.de/51130-a...ijackthis.html

erstelle und poste bitte nur ein log mache noch nichts anderes und poste allet teile des hjk logs lasse nichts weg !

edtiere das log so wie in dem theard beschrieben wird
__________________
Alt 12.02.2009, 12:37   #3
j.krasen
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden


hier sind meine logfiles:

Code:
ATTFilter
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 12:07:36, on 12.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\Programme\Norton Utilities\NPROTECT.EXE
C:\WINDOWS\system32\IoctlSvc.exe
C:\Programme\Speed Disk\nopdb.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\igfxtray.exe
C:\WINDOWS\System32\hkcmd.exe
C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\Norton Utilities\SYSDOC32.EXE
C:\Programme\REALTEK\USB Wireless LAN Utility\RtWLan.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Sicherheit\HijackThis\HijackThis.exe
C:\Programme\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = h**p://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = h**p://toolbar.ask.com/toolbarv/askRedirect?o=101699&gct=&gc=1&q=%s
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 192.168.1.1:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
R3 - URLSearchHook: DefaultSearchHook Class - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - C:\Programme\AskSearch\bin\DefaultSearch.dll
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\iympaorw.dll (file missing)
O2 - BHO: (no name) - {F83A3E27-8907-40B1-BA42-FAFC34A2F4E6} - C:\WINDOWS\Config\cavsr.dll (file missing)
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ISDN SpeedManager] "C:\Programme\T-Online\ISDN SpeedManager\Tomcat.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [GhostStartTrayApp] C:\Programme\Symantec\Norton Ghost 2003\GhostStartTrayApp.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Intel Physical Address Aventis 1.3] C:\WINDOWS\wciactrl.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Norton System Doctor.lnk = C:\Programme\Norton Utilities\SYSDOC32.EXE
O4 - Global Startup: REALTEK USB Wireless LAN Utility.lnk = C:\Programme\REALTEK\USB Wireless LAN Utility\RtWLan.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = kraple.local
O17 - HKLM\Software\..\Telephony: DomainName = kraple.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = kraple.local
O20 - Winlogon Notify: cavsr - C:\WINDOWS\Config\cavsr.dll (file missing)
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: GhostStartService - Symantec Corporation - C:\Programme\Symantec\Norton Ghost 2003\GhostStartService.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programme\Norton Utilities\NPROTECT.EXE
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe
O23 - Service: Speed Disk service - Symantec Corporation - C:\Programme\Speed Disk\nopdb.exe
O23 - Service: Windows Binary Reader - Unknown owner - C:\WINDOWS\system32\smsc.exe (file missing)
O23 - Service: Microsoft Language Service (Windows Language Service) - Unknown owner - C:\WINDOWS\alg.exe (file missing)
O23 - Service: Network Provision Managing Service (xmlprovman) - Unknown owner - C:\WINDOWS\system32\provsvc.exe (file missing)

--
End of file - 8516 bytes
__________________
Alt 12.02.2009, 12:39   #4
j.krasen
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.


hallo,
ich habe die hjk-log gepostet.
gruß: j.krasen

Alt 12.02.2009, 22:05   #5
j.krasen
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.


hallo,
kann mal jemand einen blick werfen auf meine HJT - Log-File, ob da was auffälliges dabei ist. ich habe jetzt ein weiteres problem: ein programm, mit dem ich arbeiten muß, kann nicht mehr geöffnet werden. habe ich noch nie gehabt und ich weiß auch nicht, ob das mit dem trojaner zusammenhängt. jedenfalls kommt die maske "programm muss beendet werden, sollen die daten zu microsoft gesendet werden" usw.
wäre toll, wenn mir jemand helfen könnte.
j. krasen


Alt 12.02.2009, 22:44   #6
john.doe
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.


Hallo und

Gehst du mit ISDN ins Internet?
Ist der Rechner Teil eines Netzwerkes?

1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme:
  • Norton Utilities (stört die Säuberung, die gelbe Pest)
  • Acrobat Reader (veraltet)
  • AskBar (Adware)
  • Alles von Google (Datenkrake)
  • Foxit Toolbar (Adware)
  • Spybot (Schrott)

2.) Starte HJT => Do a system scan only => Markiere:
Code:
ATTFilter
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\iympaorw.dll (file missing)
O2 - BHO: (no name) - {F83A3E27-8907-40B1-BA42-FAFC34A2F4E6} - C:\WINDOWS\Config\cavsr.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: cavsr - C:\WINDOWS\Config\cavsr.dll (file missing)
O23 - Service: Windows Binary Reader - Unknown owner - C:\WINDOWS\system32\smsc.exe (file missing)
O23 - Service: Microsoft Language Service (Windows Language Service) - Unknown owner - C:\WINDOWS\alg.exe (file missing)
=> Fix checked

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

4.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

6.) Installiere (Toolbars grundsätzlich abwählen, Haken weg):
FoxIt Reader
Service Pack 3
MSIE 7

7.) Poste ein neues Hijackthis Logfile. Editiere die Links und privaten Infos!!

ciao, andreas
Geändert von john.doe (12.02.2009 um 22:56 Uhr) Grund: Die Hälfte vergessen, das Alter *sigh*

Alt 13.02.2009, 15:48   #7
j.krasen
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.


hallo andreas,

VIELEN DANK FÜR DEINE UNTERSTÜTZUNG!

Gehst du mit ISDN ins Internet?
Ist der Rechner Teil eines Netzwerkes?

> mein rechner war bis vor kurzem teil eines netzwerkes. ich ging über ISDN ins internet. seit wenigen wochen über W-LAN breitband.

1.) Deinstalliere (Start=>Systemsteuerung=>Software) folgende Programme:
Norton Utilities (stört die Säuberung, die gelbe Pest)
Acrobat Reader (veraltet)
AskBar (Adware)
Alles von Google (Datenkrake)
Foxit Toolbar (Adware)
Spybot (Schrott)

> habe ich alles gemacht. askbar habe ich nicht gefunden. keine ahnung, was das ist. bei norton utilities habe ich den papierkorb mit recycler immer gebraucht, um daten meines zeichenprogrammes wiederzuholen.

2.) Starte HJT => Do a system scan only => Markiere:

Code:
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll (file missing)
O2 - BHO: (no name) - {F18F04B0-9CF1-4b93-B004-77A288BEE28B} - C:\WINDOWS\system32\iympaorw.dll (file missing)
O2 - BHO: (no name) - {F83A3E27-8907-40B1-BA42-FAFC34A2F4E6} - C:\WINDOWS\Config\cavsr.dll (file missing)
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\System32\igfxtray.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: cavsr - C:\WINDOWS\Config\cavsr.dll (file missing)
O23 - Service: Windows Binary Reader - Unknown owner - C:\WINDOWS\system32\smsc.exe (file missing)
O23 - Service: Microsoft Language Service (Windows Language Service) - Unknown owner - C:\WINDOWS\alg.exe (file missing)=> Fix checked

> erledigt

3.) Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.

> erledigt

4.) Malwarebytes Antimalware ausführen und Logfile posten (Wächter Deines Virenscanner vor dem Scannen deaktivieren!)

> erledigt. hier ist der report:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1757
Windows 5.1.2600 Service Pack 2

13.02.2009 13:10:59
mbam-log-2009-02-13 (13-10-52).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 220221
Laufzeit: 1 hour(s), 3 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{46a4e9d9-b30e-452a-8157-dbbec8573b03} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{b7672baf-e9a3-49b6-86b2-c81719a18a4c} (Trojan.Vundo) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f18f04b0-9cf1-4b93-b004-77a288bee28b} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\VSAdd-in (Adware.Agent) -> No action taken.

Infizierte Dateien:
C:\Programme\VSAdd-in\VSAdd-in.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> No action taken.


5.) Superantispyware laden, starten und Log posten, so wie hier beschrieben: http://www.trojaner-board.de/51871-a...tispyware.html

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

> erledigt. Nach dem scannen habe ich den rechner neu gestartet. Beim neustart hat AVIRA sich wieder gemeldet und die bekannten vier objekte habe ich wiederum in die quarantäne verschoben. Jetzt soll ich ja lt. Anleitung erst mal auf die auswertung warten. Die punkte 6 und 7 sind also noch nicht erledigt.

hier ist der report:

Generated 02/13/2009 at 03:13 PM

Application Version : 4.25.1012

Core Rules Database Version : 3756
Trace Rules Database Version: 1720

Scan type : Complete Scan
Total Scan Time : 01:30:10

Memory items scanned : 452
Memory threats detected : 0
Registry items scanned : 4142
Registry threats detected : 2
File items scanned : 147623
File threats detected : 89

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ad.adnet[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@livenation.122.2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@salue.inlimedia[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@weborama[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@www.ads-inlimedia[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.heias[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@1071214352[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@a2.adserver01[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adviva[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@e-2dj6wjmywpc5eap.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@interclick[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@shop.zanox[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adv1[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@myroitracking[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@sport1[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@sport1[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@xiti[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@www.etracker[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@indextools[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@burstnet[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tracking.quisma[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adserver.easyad[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adtech[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@autoscout24.112.2o7[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adbrite[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adopt.euroclick[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@webmasterplan[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tracking.klicktel[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@allesklarcomag.112.2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@sport1-de[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@zanox[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adserver.adreactor[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@e-2dj6wjkyehdpchq.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.entire-media[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@bs.serving-sys[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@banners.andomedia[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@traffictrack[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@spamfighter.112.2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@rotator.adjuggler[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@questionmarket[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@googleadservices[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tradedoubler[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@unitymedia[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@1071978996[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@rev.remnantmedianetwork[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@media.adrevolver[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@paypal.112.2o7[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@a7.adserver01[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ad.zanox[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@yadro[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.clicksor[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.quartermedia[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@atdmt[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@serving-sys[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@revsci[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@1070786884[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@collective-media[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@dcsbusili10000cl8aqvw6567_6w4v[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@tribalfusion[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@doubleclick[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@specificclick[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.planetactive[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@ads.glispa[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@komtrack[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@media[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@www.pro-advertise[2].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@stats.paypal[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@advertising[1].txt
C:\Dokumente und Einstellungen\johannes.KRAPLE\Cookies\johannes@zedo[1].txt

Adware.MyWebSearch/FunWebProducts
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}
HKCR\CLSID\{9AFB8248-617F-460d-9366-D71CDEDA3179}\TreatAs

Trojan.Downloader-VSAddIn
C:\WINDOWS\SYSTEM32\HRFKOVOY.EXE

Trace.Known Threat Sources
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2J4NPENU\starck3_wan_1_tn[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01UN0D6J\darling_wan_tn[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01UN0D6J\dellarco_wan_tn[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01UN0D6J\starck3_wan_2[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\01UN0D6J\starck_3_wan_5[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2J4NPENU\keramikfarbe_pergamon[1].gif
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\2J4NPENU\StarckX_Wanne1_tn[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T8DXZ1TZ\starck_3_wan_3[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\T8DXZ1TZ\starck3_wan_1[1].jpg
C:\Dokumente und Einstellungen\johannes\Lokale Einstellungen\Temporary Internet Files\Content.IE5\GHQFWXIJ\starck_3_wan_4[1].jpg



6.) Installiere (Toolbars grundsätzlich abwählen, Haken weg):
FoxIt Reader
Service Pack 3
MSIE 7

7.) Poste ein neues HijackThis Logfile. Editiere die Links und privaten Infos!!

ciao, andreas

[/COLOR]

Alt 13.02.2009, 17:17   #8
john.doe
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.


Hallo Johannes,

du musst Punkt 4 noch einmal ausführen. Das Log zeigt No action taken. Du musst nach dem Scan auf Ausgewählte Entfernen klicken, so wie es in der Anleitung steht.

Um Dinge aus dem Papierkorb zu holen, benötigst du kein Norton Utilities, dazu reicht die Windowsfunktion. Wenn du ohne nicht leben kannst, darfst du es zum Schluss wieder installieren (wovon ich aber abrate).

Zitat:
mein rechner war bis vor kurzem teil eines netzwerkes. ich ging über ISDN ins internet. seit wenigen wochen über W-LAN breitband.
Dann müssen wir noch einige Dinge fixen oder besser: Baue die ISDN-Karte aus.

ciao, andreas

Alt 13.02.2009, 19:11   #9
j.krasen
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.



hallo andreas,

da ist mir ein fehler passiert:



du musst Punkt 4 noch einmal ausführen. Das Log zeigt No action taken. Du musst nach dem Scan auf Ausgewählte Entfernen klicken, so wie es in der Anleitung steht.


> ich habe den report VOR dem entfernen kopiert. hier ist der richtige log:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1757
Windows 5.1.2600 Service Pack 2

13.02.2009 13:12:37
mbam-log-2009-02-13 (13-12-37).txt

Scan-Methode: Vollständiger Scan (C:\|)
Durchsuchte Objekte: 220221
Laufzeit: 1 hour(s), 3 minute(s), 38 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 6
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 1
Infizierte Dateien: 3

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\CLSID\{46a4e9d9-b30e-452a-8157-dbbec8573b03} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{74dd705d-6834-439c-a735-a6dbe2677452} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{b7672baf-e9a3-49b6-86b2-c81719a18a4c} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f18f04b0-9cf1-4b93-b004-77a288bee28b} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
C:\Programme\VSAdd-in (Adware.Agent) -> Quarantined and deleted successfully.

Infizierte Dateien:
C:\Programme\VSAdd-in\VSAdd-in.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~.exe (Trojan.Downloader) -> Quarantined and deleted successfully.



Um Dinge aus dem Papierkorb zu holen, benötigst du kein Norton Utilities, dazu reicht die Windowsfunktion. Wenn du ohne nicht leben kannst, darfst du es zum Schluss wieder installieren (wovon ich aber abrate).


> ich arbeite mit einem zeichenprogramm. wenn während der arbeit das programm abstürzt, konnte ich mit dem norton recycler den letzten stand meistens noch wiederfinden. der landet ja nicht im papierkorb. ich benötige also wahrscheinlich etwas, das den inhalt des arbeitsspeichers auffängt. oder?



Zitat:
mein rechner war bis vor kurzem teil eines netzwerkes. ich ging über ISDN ins internet. seit wenigen wochen über W-LAN breitband.

Dann müssen wir noch einige Dinge fixen oder besser: Baue die ISDN-Karte aus.


> die ISDN-karte benötige ich nicht mehr. besteht dort ein risiko? oder kann ich sie nicht einfach drin lassen?



> ich war zwischendurch weg und habe vorhin wieder den rechner gestartet. ist alles noch so wie vorher. man hat ja die hoffnung, dass die schädlinge schon raus sind.

danke! - johannes

Alt 13.02.2009, 19:30   #10
john.doe
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.


Zitat:
ich habe den report VOR dem entfernen kopiert. hier ist der richtige log:
So ist besser.
Zitat:
konnte ich mit dem norton recycler den letzten stand meistens noch wiederfinden.
Wenn du einen Nutzen davon hast, dann installiere es zum Schluss. Hier kommen viele Leute vorbei, die sich sinnfreie Software installieren und sich dann wundern, dass ihr Rechner so langsam ist.
Zitat:
oder kann ich sie nicht einfach drin lassen?
Du kannst schon. Falls du genügend Zeit hast tue folgendes: Messe die Zeit, die dein Rechner benötigt, bis der Desktop erscheint und dann noch bis die Festplatte Ruhe gibt. Deinstalliere die ISDN-Software, baue die Karte aus, mache 2 Neustarts und messe beide Zeiten nocheinmal. Dann wirst du verstehen. Von den Ressourcen ganz zu schweigen.

ciao, andreas

Alt 13.02.2009, 19:49   #11
j.krasen
 
Ich kann Trojaner nicht loswerden. - Standard

Ich kann Trojaner nicht loswerden.


hallo andreas,

OK, ich verstehe. ich schmeiß das ding morgen raus.

johannes

Antwort

Themen zu Ich kann Trojaner nicht loswerden.
.dll, abgesicherte, abgesicherten, abgesicherten modus, ahnung, antivir, avira, avira antivir, board, erneute, gescannt, gestern, hochfahren, loswerden, modus, neu, objekte, problem, schlägt, system, troja, trojaner, wenig, wenig ahnung


« Rechner und Internet seit einiger Zeit sehr langsam | Internet ist langsamer als sonst... Virus? »


Ähnliche Themen: Ich kann Trojaner nicht loswerden.


  1. PriceLess lässt sich nicht loswerden
    Plagegeister aller Art und deren Bekämpfung - 01.08.2015 (14)
  2. Positive finds Ads, wie kann ich es loswerden
    Plagegeister aller Art und deren Bekämpfung - 05.02.2015 (11)
  3. Windows 7: Kann search.fbdownloader.com nicht loswerden
    Log-Analyse und Auswertung - 13.12.2014 (11)
  4. Ihavenet Virus - wie kann ich ihn loswerden
    Log-Analyse und Auswertung - 31.07.2013 (25)
  5. GVU Trojaner loswerden
    Log-Analyse und Auswertung - 25.06.2013 (5)
  6. gestern mit GUV Trojaner infiziert - wie kann ich den wieder loswerden ?
    Plagegeister aller Art und deren Bekämpfung - 30.04.2013 (2)
  7. wie den GVU-Trojaner loswerden?
    Plagegeister aller Art und deren Bekämpfung - 17.01.2013 (25)
  8. GVU Trojaner loswerden
    Plagegeister aller Art und deren Bekämpfung - 28.09.2012 (9)
  9. GVU Trojaner loswerden
    Log-Analyse und Auswertung - 06.09.2012 (7)
  10. Win XP GVU 2.07 Trojaner loswerden
    Plagegeister aller Art und deren Bekämpfung - 18.08.2012 (19)
  11. http://www.searchqu.com/406 kann ich nicht loswerden......
    Log-Analyse und Auswertung - 22.09.2011 (2)
  12. Wie kann ich TR/Agent.ahze loswerden?
    Mülltonne - 11.11.2008 (0)
  13. Habe Viren, kann sie aber nicht loswerden
    Plagegeister aller Art und deren Bekämpfung - 18.01.2007 (20)
  14. Wie kann Kann man den Virus W32/Zmist loswerden ?
    Plagegeister aller Art und deren Bekämpfung - 02.09.2006 (5)
  15. TR/Dldr.Mediket.S.2 würde ich gerne loswerden, kann mir jemand helfen?
    Plagegeister aller Art und deren Bekämpfung - 30.09.2005 (5)
  16. Hilfe kann Dialer nicht loswerden
    Log-Analyse und Auswertung - 14.03.2005 (20)
  17. ich kann den dialer nicht loswerden
    Plagegeister aller Art und deren Bekämpfung - 24.04.2004 (3)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Ich kann Trojaner nicht loswerden. - hallo board, ich bin neu hier, habe wenig ahnung und ein problem: seit gestern schlägt bei jedem hochfahren mein avira antivir an: es geht um 4 objekte im system32. txsocom32.dll, - Ich kann Trojaner nicht loswerden....
Archiv
Du betrachtest: Ich kann Trojaner nicht loswerden. auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58