Hallo zusammen,
Ich habe bei Google gesucht und auch in eurer Suchfunktion, aber leider nichts zu meinem Problem gefunden.
Besitze Windows XP.
Mein Problem: Habe seit gesten einen Trojaner am Computer(bin mir nicht so sicher glaube ich zumindest).
Sobald ich bei google etwas suche, öffnen sich immer bestimmte Seiten von Antivirusprogrammen. Ich hab mir jetzt den Security Task Manager runtergeladen und rüberlaufen lassen. Es wurde die Datei avmetern.dll in System32 gefunden. Die Datei wurde gestern erstellt.
Löschen ist nicht möglich. Norton Antivirus 07 erkennt auch nichts.
Denke aber dass das der Übeltäter ist.
Wäre super wenn mir jemand weiterhelfen könnte.

Mfg eddi

ein aktuelles Hijack Logfile

Logfile of HijackThis v1.99.1
Scan saved at 20:58:46, on 29.10.2007
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\alg.exe
C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\HPZipm12.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\System32\rundll32.exe
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\HP\Digital Imaging\bin\hpqSTE08.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\***\Lokale Einstellungen\Temp\Temporäres Verzeichnis 2 für hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://w*w.freenet.de/
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://securityresponse.symantec.com/avcenter/vinfodb.html?prodid=nis2007
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\NppBho.dll
O2 - BHO: (no name) - {ABB6FFAC-37CE-47DA-A00F-470F3F6FDC9A} - C:\WINDOWS\System32\avmetern.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton-Symbolleiste anzeigen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programme\Gemeinsame Dateien\Symantec Shared\coShared\Browser\1.0\UIBHO.dll
O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [osCheck] "C:\Programme\Norton Internet Security\osCheck.exe"
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [routcnf] C:\Programme\Telekom\Eumex 404PC\routcnf.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Symantec PIF AlertEng] "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O4 - Startup: Update_0710_KB281626.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Update_0710_KB281626.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A6090B1-25E8-4DC2-9897-D559A587FE95}: NameServer = 217.237.151.115 217.237.148.102
O23 - Service: Automatisches LiveUpdate - Scheduler - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\ALUSchedulerSvc.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\VAScanner\comHost.exe
O23 - Service: Symantec IS Kennwortprüfung (ISPwdSvc) - Symantec Corporation - C:\Programme\Norton Internet Security\isPwdSvc.exe
O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE
O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)
O23 - Service: LiveUpdate Notice Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /m "C:\Programme\Gemeinsame Dateien\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PifEng.dll (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe
O23 - Service: Symantec Core LC - Unknown owner - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe
O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\AppCore\AppSvc32.exe

Hallo

Zitat:

Mein Problem: Habe seit gesten einen Trojaner am Computer

Das verwundert nicht besonders da

Zitat:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

du mit einem komplett ungepatchtem System unterwegs bist, es fehlen dir 2 Servicepacks von WinXP sowie alle Folgeupdates.
Schädlinge können so auf dein System gelangen ohne das du etwas dafür tun musst.

Mach bitte alle versteckten Dateien und Ordner sichtbar und lass diese Dateien :
C:\WINDOWS\System32\avmetern.dll
Update_0710_KB281626.exe <-- musst du suchen
hier Virustotal
hier VirSCAN.org - The Multi-Engine Virus Scanner v1.00 Beta,Support 35 AntiVirus Engine, Last Update(071019)
oder hier Jotti
überprüfen (kann einige Minuten dauern),
poste die Ergebnisse mit der Angabe der größe der hochgeladenen Datei sowie die MD5 und SHA1 Angaben,
bitte auch wenn nichts gefunden wurde.

MFG

avmetern.dll
bei virustotal
File size: 94720 bytes
MD5: 87b074b9aaa9567dd82df5609bac22ad
SHA1: b2f975ab3957a9f96bcd574724b17486c2ab6b00

F-Secure/ Trojan-Spy.Win32.BZub.btx
BitDefender/ Trojan.Spy.Bzub.NFY
Kaspersky/ Trojan-Spy.Win32.BZub.btx
Panda/ Suspicious file
Webwasher-Gateway/ Worm.Win32.Malware.gen!88 (suspicious)

bei den Anderen wurde nichts gefunden.

Update_0710_KB281626.exe wurde zweimal gefunden. Das Erstellungsdatum unterscheidet sich nur um eine Minute. Eine Datei befindet sich in C:/Dokumente und Einstellungen/All Users/Startmenü/Programme/Autostart/
dei zweite in C:/Dokumente und Einstellungen/*****/Startmenü/Programme/Autostart/
Und noch zwei PF-Dateien in C:/Windows/Prefetch die genauen Namen lauten:
UPDATE_0710_KB281626.EXE-11C70C77.pf und UPDATE_0710_KB281626.EXE-262944B9.pf

Datei in All Users:

AntiVir/ TR/Crypt.XPACK.Gen
AVG/ Obfustat.UGU
CAT-QuickHeal/ (Suspicious) - DNAScan
eSafe/ Suspicious File
Panda/ Suspicious file
Sophos/ Mal/Behav-066
Webwasher-Gateway/ Trojan.Crypt.XPACK.Gen

weitere Informationen
File size: 37376 bytes
MD5: 5344c27745938578ff68ef37fe95f520
SHA1: adce3fd86cb3ccc7c8023855eb8af2bf100620c5

Datei in ******

AntiVir/ TR/Crypt.XPACK.Gen
AVG/ Obfustat.UGU
CAT-QuickHeal/ (Suspicious) - DNAScan
eSafe/ Suspicious File
Panda/ Suspicious file
Sophos/ Mal/Behav-066
Webwasher-Gateway/ Trojan.Crypt.XPACK.Gen

UPDATE_0710_KB281626.EXE-11C70C77.pf bei Virus Total:

Nichts gefunden

weitere Informationen
File size: 13744 bytes
MD5: c26cf886ca0a653fdc84b24a1f5c2e6c
SHA1: c5268a87235ea1236e7e392d83c37a73dab0aa0f

UPDATE_0710_KB281626.EXE-262944B9.pf bei VirusTotal:
Nichts gefunden

weitere Informationen
File size: 13942 bytes
MD5: ac94bff1d02fdff64b76f5a7126a9841
SHA1: f4abc2437c3b842b0a9419cc5378b8aa3342aff9


Was soll ich jetzt tun? Die Dateien einfach löschen?
Danke, dass du mir weiter hilfst

Hallo

sehr viel hab ich zu den Schädlingen nicht gefunden, ich kann also keine Aussage über ihre Eigenschaften machen.
Da dein System absolut ungepacht ist, würde ich ein neu aufsetzen vorschlagen.
Neuaufsetzen des Systems und anschliessende Absicherung!

Wenn du trotzdem einen Versuch starten willst dann lade dir den CCleaner runter -> KLICK

- Ccleaner installieren (die toolbar nicht installieren) und starten
- wähle unter Options --> Settings --> German
-hake unter - Windows -> Erweitert -> Alte Prefetch Daten - mit an
- bereinige dein System
- lass auch die fehler in der registry beheben --> unter "Probleme" --> nach Fehlern suchen --> Fehler beheben anschließend fixe mit HijackThis diese Einträge :
O2 - BHO: (no name) - {ABB6FFAC-37CE-47DA-A00F-470F3F6FDC9A} - C:\WINDOWS\System32\avmetern.dll
O4 - Startup: Update_0710_KB281626.exe
O4 - Global Startup: Update_0710_KB281626.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
beende HijackThis und starte dein System in den abgesicherten Modus (beim start F8 drücken).
Lösche im abgesicherten Modus diese Dateien wenn noch vorhanden :
C:\WINDOWS\System32\avmetern.dll
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\Update_0710_KB281626.exe
C:\Dokumente und Einstellungen\*****\Startmenü\Programme\Autostart\Update_0710_KB281626.exe
C:\WINDOWS\web\related.htm
anschließend leere den Mülleimer und starte dein System neu in den normalen Modus.
Erstelle ein neues HijackThis Log, benenne aber vorher die Hijackthis.exe um in z.B. ABC.exe.

MFG

Hallo,

werde mich wahrscheinlich für option 1 entscheiden.
Sollte ich die Formation schnellstmöglich machen, oder kann ich noch bis zum Wochenende warten.
Wenn ich eine Sicherungskopie erstelle (z.b. einige Word texte und Tabellenkalkulationen) muss ich die vorher auf Vieren prüfen, oder ist es ausgeschlossen, dass die auch befallen sind.
Was sollte ich nach der Neuinstallation tun, um wieder alles auf den Aktuellsten stand zu bringen? Reichen da die normalen Windowsupdates ?

Zu den Vieren die ich am Computer habe:
Bei einem Bekannten von mir wurde durch einen Virus das Internetpasswort herausgefunden, und dadurch ein sehr hoher Schaden angerichtet.
Könnte das bei mir auch der Fall sein?

Vielen Dank im Vorraus

Hallo

Zitat:

werde mich wahrscheinlich für option 1 entscheiden.

Halte ich persönlich für absolut richtig.

Zitat:

Sollte ich die Formation schnellstmöglich machen, oder kann ich noch bis zum Wochenende warten.

Bis zum Wochenende wird es noch gehen, verzichte aber möglichst auf Onlineaktivitäten (Onlinebanking, Ebay, Passworteingaben).

Hier findest du eine sehr gute Anleitung zum Neuaufsetzen des Systems und anschliessende Absicherung!
Ändere nach der Neuinstallation auch deine Pass- und Kennwörter.

MFG

eine Frage noch:
Du hast gesagt ich benutze ein ungepatchstes windows.
Was heißt das genau?

Hallo

Zitat:

Du hast gesagt ich benutze ein ungepatchstes windows.
Was heißt das genau?

dir fehlen alle Updates für dein Betriebssystem, es gibt zur Zeit 2 große "Updatesammlungen" (Servicepack 1+2) für WinXP und es erscheinen monatlich neue Updates.
Besorge dir von einem Freund/Freundin oder Bekannten das Servicepack 2 (beinhaltet SP1) auf CD oder von hier --> Downloaddetails: Windows XP Service Pack 2 für IT-Spezialisten und Entwickler
(auf einen sauberen Rechner runterladen und CD brennen)
und besuche nach der Neuinstallation und der Installation des Servicepack 2 diese Seite --> Microsoft Windows Update
mit dem Internet Explorer und lade dir alle verfügbaren Updates.

MFG

Ich werde mir morgen wahrscheinlich einen neuen Computer kaufen.
Habe aber jetzt folgendes Problem:
Benütze die Telekom Eumex 404PC Telefonanlage.
Wenn ich mir jetzt einen Computer mit Windows Vista kaufe, funktioniert dann meine Anlage noch? Habe nämlich auf der Telekom Seite keine aktuellen Treiber gefunden.
Vielen Dank im Vorraus.