Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung

Plagegeister aller Art und deren Bekämpfung: Trojaner per ICQ- wie entferne ich ihn wieder?!

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 05.12.2007, 07:08   #1
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Hey erstmal,
ich habe mir über ICQ einen Trojaner eingefangen... den groben Teil konnte ich entfernen, aber es ist noch ein Rest übrig geblieben, der einfach nicht zu entfernen ist. Der Virus heißt: Trojan.Win32/Stration.gen!D

Hier mal meine aktuelle Hijack-File:
Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 07:07:04, on 05.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\SPYWAR~1\sp_rsser.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\sstray.exe
C:\Program Files\ASUS\Probe\AsusProb.exe
C:\Programme\USBToolbox\ResModify.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Ahead\InCD\InCD.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe
C:\Programme\Logitech\QuickCam10\QuickCam10.exe
C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe
C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Programme\ICQLite\ICQLite.exe
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\DAEMON Tools\daemon.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\LVComSX.exe
C:\Programme\Gemeinsame Dateien\Logishrd\LQCVFX\COCIManager.exe
C:\Programme\Gemeinsame Dateien\Teleca Shared\Generic.exe
C:\Programme\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\Crawler\Toolbar\CToolbar.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Programme\Internet Explorer\iexplore.exe
D:\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.msn.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.de/0SEDEDE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\Programme\Crawler\Toolbar\ctbr.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Crawler Toolbar - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\Programme\Crawler\Toolbar\ctbr.dll
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [ASUS Probe] C:\Program Files\ASUS\Probe\AsusProb.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [ResModify] C:\Programme\USBToolbox\ResModify.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Programme\Ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [SpywareTerminator] "C:\PROGRA~1\SPYWAR~1\SpywareTerminatorShield.exe"
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [ICQ Lite] "C:\Programme\ICQLite\ICQLite.exe" -minimize
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Programme\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Crawler Search - tbr:iemenu
O8 - Extra context menu item: Easy-WebPrint Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/229?8643e790bdf741f99703999c0f6ed04a
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-de\msntabres.dll.mui/230?8643e790bdf741f99703999c0f6ed04a
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {1239CC52-59EF-4DFA-8C61-90FFA846DF7E} (Musicnotes Viewer) - http://www.musicnotes.com/download/mnviewer.cab
O16 - DPF: {17D667BA-5675-4AAB-9221-08B9379384D4} (Image Uploader Control) - http://cdnimg.piczo.com/images/uploader/piczo_fast_uploader.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1115287088375
O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab
O16 - DPF: {A8F2B9BD-A6A0-486A-9744-18920D898429} (ScorchPlugin Class) - http://www.sibelius.com/download/software/win/ActiveXPlugin.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game08.zylom.com/activex/zylomgamesplayer.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://www.shockwave.com/content/zuma/sis/popcaploader_v10.cab
O18 - Protocol: bw+0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {C909E196-5BE0-4A0B-BCF1-F169BB7F3241} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\Programme\Crawler\Toolbar\ctbr.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: enjoyment - {e71aba09-d81a-4876-baa3-df133c1dfc48} - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: InCD Helper (read only) (InCDsrvR) - Ahead Software AG - C:\Programme\Ahead\InCD\InCDsrv.exe
O23 - Service: Logitech Process Monitor (LVPrcSrv) - Logitech Inc. - c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Spyware Terminator Clam Service (sp_clamsrv) - Crawler.com - C:\Programme\WinClamAVShield\sp_clamsrv.exe
O23 - Service: Spyware Terminator Realtime Shield Service (sp_rssrv) - Crawler.com - C:\PROGRA~1\SPYWAR~1\sp_rsser.exe

--
End of file - 22524 bytes

Ich hoffe damit kann jemand etwas anfangen und mir helfen... ich würde nämlich nur ungerne meine Festplatte formatieren...

Alt 06.12.2007, 12:58   #2
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Hi,

nimm mal bitte die aktuelle Version von HJT - du kannst diese in hjt.com umbenannte hijackthis.exe verwenden.

Mach auch mal ein paar Routinechecks: Führ dazu diese Tools bzw. Anleitungen aus und poste die Logfiles:
- eScan
- Silentrunners
- combofix
__________________

__________________

Alt 06.12.2007, 17:41   #3
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Erstmal vielen Dank für die Antwort. Ich bin gerade dabei meinen Computer nochmal zu scannen.

Kleiner Zwischenstand:
Gestern habe ich mir AVG 7.5 runtergeladen und konnte den Stration Virus (scheinbar) entfernen. Allerdings werden immer neue Viren (Trojaner) gefunden... hoffentlich krieg meinen PC wieder virenfrei. Werde die Log-Files posten sobald die Scans alle durchgelaufen sind.
__________________

Alt 06.12.2007, 18:42   #4
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Erstmal das Ergebnis vom escan (Sieht nicht sehr gut aus, oder?):

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Header
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
find.bat Version 2007.06.16.01

Microsoft Windows XP [Version 5.1.2600]
Bootmodus: NETWORK

eScan Version: 9.5.9
Sprache: German
Virus-Datenbank Datum: 12/5/2007

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Infektionsmeldungen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "grokster Spyware/Adware" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
Object "smitfraud Browser Hijacker" in Dateisystem gefunden! Folgende Maßnahme wurde durchgeführt: Keine Aktion vorgenommen.
System found infected with image activex access Trojan ({29c5a3b6-9a8d-4fa0-b5ad-3e20f4aa5c00})! Action taken: Keine Aktion vorgenommen.
System found infected with image activex access Trojan ({29c5a3b6-9a8d-4fa0-b5ad-3e20f4aa5c00})! Action taken: Keine Aktion vorgenommen.
System found infected with zlob Trojan-Downloader (install.dat)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (process.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swreg.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with trojan-downloader.bat.ftp.ab Trojan-Downloader (swsc.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with lopcom Browser Hijacker (glb1a2b.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with vx2 Spyware/Adware (boot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with lopcom Browser Hijacker (glb1a2b.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with vx2 Spyware/Adware (boot.exe)! Action taken: Keine Aktion vorgenommen.
System found infected with savenow Adware (C:\WINDOWS\system32\unrar.dll)! Action taken: Keine Aktion vorgenommen.
System found infected with image activex access Trojan (hklm\software\microsoft\windows\currentversion\uninstall\messenger service)! Action taken: Keine Aktion vorgenommen.
System found infected with image activex access Trojan (hklm\software\microsoft\windows\currentversion\uninstall\internet explorer secure bar)! Action taken: Keine Aktion vorgenommen.


~~~~~~~~~~~
Dateien
~~~~~~~~~~~
~~~~ Infected files
~~~~~~~~~~~
Datei C:\System Volume Information\_restore{0D770F8E-9E00-4C35-B15F-5DFA02A049FA}\RP648\A0578659.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
Datei C:\System Volume Information\_restore{0D770F8E-9E00-4C35-B15F-5DFA02A049FA}\RP650\A0578727.exe infiziert von "NULL.Corrupted" Virus. Aktion vorgenommen: Keine Aktion vorgenommen.
~~~~~~~~~~~
~~~~ Tagged files
~~~~~~~~~~~
~~~~~~~~~~~
~~~~ Offending files
~~~~~~~~~~~
Offending file found: C:\install.dat
Offending file found: C:\WINDOWS\system32\process.exe
Offending file found: C:\WINDOWS\system32\swreg.exe
Offending file found: C:\WINDOWS\system32\swsc.exe
Offending file found: C:\DOKUME~1\Michael\LOKALE~1\Temp\glb1a2b.exe
Offending file found: C:\Dokumente und Einstellungen\Michael\Eigene Dateien\downloads\silver chaos 2 (upped by aarinfantasy)\silver chaos 2_artificial mermaid (upped by aarinfantasy)\silver chaos 2_artificial mermaid (upped by aarinfantasy)\boot.exe
Offending file found: C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\temp\glb1a2b.exe
Offending file found: C:\Dokumente und Einstellungen\Michael\Eigene Dateien\downloads\silver chaos 2 (upped by aarinfantasy)\silver chaos 2_artificial mermaid (upped by aarinfantasy)\silver chaos 2_artificial mermaid (upped by aarinfantasy)\boot.exe
Offending file found: C:\WINDOWS\system32\unrar.dll
~~~~~~~~~~~
Ordner
~~~~~~~~~~~
Offending Folder found: C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\icq\bart\1024
~~~~~~~~~~~
Registry
~~~~~~~~~~~
Offending Key found: HKLM\Software\magnet !!!
Offending Key found: HKCR\magnet !!!


~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Diverses
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~~~~~~~~~~~~~~~~~~~~~
Prozesse und Module
~~~~~~~~~~~~~~~~~~~~~~
Invalid Entry DllName = appmgmts.dll (in key SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{c6dc5466-785a-11d2-84d0-00c04fb169f7}). Deleting Registry Key {c6dc5466-785a-11d2-84d0-00c04fb169f7}...
~~~~~~~~~~~~~~~~~~~~~~
Scanfehler
~~~~~~~~~~~~~~~~~~~~~~
C:\DOKUME~1\Michael\LOKALE~1\TEMPOR~1\Content.IE5\3USOEGNK\CLAMAVDB[1].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Michael\LOKALE~1\TEMPOR~1\Content.IE5\4T6NC1MF\CLAMAVDB_DIF[1].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Michael\LOKALE~1\TEMPOR~1\Content.IE5\4T6NC1MF\CLAMAVDB_DIF[2].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\DOKUME~1\Michael\LOKALE~1\TEMPOR~1\Content.IE5\SLUJ0LIJ\clamav[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\3USOEGNK\CLAMAVDB[1].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4T6NC1MF\CLAMAVDB_DIF[1].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\4T6NC1MF\CLAMAVDB_DIF[2].CAB nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Temporary Internet Files\Content.IE5\SLUJ0LIJ\clamav[1].cab nicht gescannt. Wahrscheinlich durch Passwort geschützt...
C:\WINDOWS\Resources\Themes\Eclipse\shell\normalcolor\shellstyle.dll nicht gescannt. Wahrscheinlich durch Passwort geschützt...
~~~~~~~~~~~~~~~~~~~~~~
Hosts-Datei
~~~~~~~~~~~~~~~~~~~~~~
DataBasePath: %SystemRoot%\System32\drivers\etc
Zeilen die nicht dem Standard entsprechen:
C:\WINDOWS\System32\drivers\etc\hosts :
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Gescannte Dateien: 115874
Gefundene Viren: 18
Anzahl der desinfizierten Dateien: 0
Umbenannte Dateien: 0
Anzahl der gelöschten Dateien: 0
Anzahl Fehler: 290
Dauer des Scans bisher: 01:08:50
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Scan-Optionen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Specherüberprüfung: Aktiviert
Registry Überprüfung: Aktiviert
System-Ordner Überprüfung: Aktiviert
Überprüfung der Systembereiche: Deaktiviert
Überprüfung der Dienste: Aktiviert
Überprüfung der Festplatten: Deaktiviert
Überprüfung aller Festplatten :Aktiviert

Batchstart: 18:39:44,00
Batchende: 18:39:58,53

Alt 06.12.2007, 18:54   #5
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Zuletzt noch die Datei von Combo Fix:

ComboFix 07-12-02.7 - Michael 2007-12-06 18:51:32.1 - NTFSx86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.708 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Michael\Eigene Dateien\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2007-11-06 bis 2007-12-06 ))))))))))))))))))))))))))))))
.

2007-12-06 18:37 . 2007-12-06 18:37 0 --a------ C:\23990098.$$$
2007-12-06 17:29 . 2007-12-06 17:29 <DIR> d-a------ C:\WINDOWS\zts2.exe
2007-12-06 17:29 . 2007-12-06 17:29 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2007-12-06 17:29 . 2007-12-06 17:29 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2007-12-06 17:29 . 2007-12-06 17:29 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2007-12-06 17:29 . 2007-12-06 17:29 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2007-12-06 17:29 . 2007-12-06 17:29 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2007-12-06 17:27 . 2004-08-04 13:00 153,600 --a------ C:\WINDOWS\R.COM
2007-12-06 17:27 . 2004-08-04 13:00 140,800 --a------ C:\WINDOWS\system32\T.COM
2007-12-06 17:27 . 2007-12-06 17:27 26 --a------ C:\WINDOWS\Lic.xxx
2007-12-05 20:24 . 2007-12-05 20:24 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\AVG7
2007-12-05 20:20 . 2007-12-06 10:22 <DIR> d-------- C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\AVG7
2007-12-05 20:20 . 2007-12-05 20:20 110,592 --a------ C:\WINDOWS\system32\avgfwafu.dll
2007-12-05 20:19 . 2007-12-05 21:14 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\avg7
2007-12-05 15:11 . 2007-12-05 20:23 <DIR> d-------- C:\WINDOWS\SxsCaPendDel
2007-12-05 15:00 . 2007-12-05 15:00 1,142 --a------ C:\WINDOWS\mozver.dat
2007-12-05 00:29 . 2007-12-05 06:50 <DIR> d-------- C:\Programme\NoAdware5.0
2007-12-05 00:22 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2007-12-05 00:14 . 2007-12-05 00:14 164 --a------ C:\install.dat
2007-12-05 00:03 . 2007-12-05 00:03 8,646,776 --a------ C:\Windows-KB890830-V1.35.exe
2007-12-04 23:46 . 2007-12-04 23:46 <DIR> d-------- C:\Programme\Kaspersky Lab
2007-12-04 23:46 . 2007-12-04 23:46 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Kaspersky Lab
2007-12-04 23:45 . 2007-06-28 12:51 206,088 --a------ C:\WINDOWS\system32\klogon(2).dll
2007-12-04 21:51 . 2007-12-04 21:51 <DIR> d-------- C:\kav
2007-12-04 20:48 . 2007-12-04 23:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Vorlagen
2007-12-04 20:48 . 2007-12-04 23:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Lokale Einstellungen
2007-12-04 20:48 . 2007-12-04 23:47 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator\Anwendungsdaten
2007-12-04 18:58 . 2007-12-04 18:58 4 --a------ C:\WINDOWS\metr.c
2007-12-04 18:58 . 2007-12-04 18:58 0 --a------ C:\WINDOWS\metr.s
2007-12-04 18:55 . 2007-12-04 19:45 72,520 --a------ C:\WINDOWS\metr.wax
2007-12-04 18:55 . 2007-12-04 18:55 4 --a------ C:\WINDOWS\system32\vdmdracp.dat
2007-12-04 18:54 . 2007-12-04 18:54 0 --a------ C:\WINDOWS\metr.z
2007-12-04 18:53 . 2007-12-04 18:53 16 --a------ C:\WINDOWS\metr.dat
2007-12-04 18:53 . 2007-12-04 18:54 4 --a------ C:\WINDOWS\system32\fpwprich.dat
2007-11-28 17:14 . 2007-11-28 17:14 <DIR> d-------- C:\Programme\DAEMON Tools
2007-11-27 19:35 . 2007-11-27 19:35 <DIR> d-------- C:\Programme\Alcohol Soft
2007-11-19 11:06 . 1998-01-14 22:06 304,128 --a------ C:\WINDOWS\IsUn0411.exe
2007-11-09 20:42 . 2007-11-09 20:42 <DIR> d-------- C:\Programme\7-Zip

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2007-12-06 15:27 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\LimeWire
2007-12-06 10:19 --------- d-----w C:\Programme\Spyware Terminator
2007-12-06 10:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spyware Terminator
2007-12-05 22:11 --------- d-----w C:\Programme\WinClamAVShield
2007-12-05 19:19 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Grisoft
2007-12-05 14:15 --------- d-----w C:\Programme\Windows Live Toolbar
2007-12-05 14:11 --------- d-----w C:\Programme\MSN Messenger
2007-12-04 22:58 --------- d-----w C:\Programme\ICQLite
2007-12-04 22:47 --------- d--h--w C:\Programme\InstallShield Installation Information
2007-12-04 18:43 --------- d-----w C:\Programme\ICQToolbar
2007-12-04 18:14 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\ICQ
2007-11-30 16:28 --------- d-----w C:\Dokumente und Einstellungen\Michael\Anwendungsdaten\uTorrent
2007-11-28 16:23 --------- d-----w C:\Programme\EA GAMES
2007-10-26 17:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\InstallShield
2007-10-22 19:11 --------- d-----w C:\Programme\Gemeinsame Dateien\DVDVIDEOSOFT
2007-10-21 19:30 --------- d-----w C:\Programme\directx
2007-10-21 19:28 1,419 ----a-w C:\Programme\INSTALL.LOG
2007-10-19 21:26 --------- d-----w C:\Programme\recipie
2007-10-17 14:21 --------- d--h--w C:\Programme\Zero G Registry
2007-10-14 13:16 --------- d-----w C:\Programme\Google
2007-10-07 12:12 --------- d-----w C:\Programme\alaplaya
2007-10-07 12:07 --------- d-----w C:\Programme\Gemeinsame Dateien\InstallShield
1999-10-31 22:00 149,504 ----a-w C:\Programme\UNINST.EXE
1999-03-01 16:00 3,774 ----a-w C:\Programme\UNINST.INI
1999-07-07 00:00 6 -csh--r C:\WINDOWS\@@desktop.dat
2007-07-18 09:28 56 --sh--r C:\WINDOWS\system32\2380911E4D.sys
2007-07-18 09:28 1,890 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"NvMediaCenter"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"LDM"="C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" [2005-05-11 18:42]
"DAEMON Tools"="C:\Programme\DAEMON Tools\daemon.exe" [2007-11-17 12:53]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nForce Tray Options"="sstray.exe" [2003-08-13 05:25 C:\WINDOWS\system32\sstray.exe]
"ASUS Probe"="C:\Program Files\ASUS\Probe\AsusProb.exe" [2002-12-06 15:07]
"NvCplDaemon"="RUNDLL32.exe" [2004-08-04 13:00 C:\WINDOWS\system32\rundll32.exe]
"nwiz"="nwiz.exe" [2003-11-17 10:33 C:\WINDOWS\system32\nwiz.exe]
"ResModify"="C:\Programme\USBToolbox\ResModify.EXE" [2003-12-23 17:10]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 09:50]
"InCD"="C:\Programme\Ahead\InCD\InCD.exe" [2004-11-26 13:42]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" [2005-03-04 02:36]
"LogitechCommunicationsManager"="C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe" [2006-12-22 12:27]
"LogitechQuickCamRibbon"="C:\Programme\Logitech\QuickCam10\QuickCam10.exe" [2006-12-22 12:28]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 21:32]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-03 21:32]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-03 21:32]
"MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-03 21:31]
"SpywareTerminator"="C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe" [2007-09-02 14:09]
"Sony Ericsson PC Suite"="C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2006-11-24 00:06]
"ICQ Lite"="C:\Programme\ICQLite\ICQLite.exe" [2006-07-11 11:15]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-12-05 20:19]
"QuickTime Task"="C:\Programme\QuickTime\qttask.exe" [2005-05-05 10:40]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 13:00]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2007-12-05 20:20]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon]
"UIHost"="LogonUI.EXE"

R0 SI3112r;Silicon Image SiI 3112 SATARaid Controller;C:\WINDOWS\system32\DRIVERS\SI3112r.sys
R0 tffsport;M-Systems DiskOnChip-2000;C:\WINDOWS\system32\DRIVERS\tffsport.sys
R3 moufiltr;Mouse Filter Driver;C:\WINDOWS\system32\DRIVERS\moufiltr.sys
R3 ZD1211U(ZyXEL);ZyAIR G-220 IEEE 802.11b+g Wireless LAN Driver (USB)(ZyXEL);C:\WINDOWS\system32\DRIVERS\zd1211u.sys
S1 sp_rsdrv2;Spyware Terminator Driver 2;\??\C:\WINDOWS\system32\drivers\sp_rsdrv2.sys
S3 LUsbKbd;Logitech SetPoint USB Keyboard Filter;C:\WINDOWS\system32\Drivers\LUsbKbd.Sys
S3 LVPrcMon;Logitech LVPrcMon Driver;\??\C:\WINDOWS\system32\drivers\LVPrcMon.sys
S3 se44bus;Sony Ericsson Device 068 driver (WDM);C:\WINDOWS\system32\DRIVERS\se44bus.sys
S3 se44mdfl;Sony Ericsson Device 068 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\se44mdfl.sys
S3 se44mdm;Sony Ericsson Device 068 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\se44mdm.sys
S3 se44mgmt;Sony Ericsson Device 068 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\se44mgmt.sys
S3 se44nd5;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (NDIS);C:\WINDOWS\system32\DRIVERS\se44nd5.sys
S3 se44obex;Sony Ericsson Device 068 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\se44obex.sys
S3 se44unic;Sony Ericsson Device 068 USB Ethernet Emulation SEMC44 (WDM);C:\WINDOWS\system32\DRIVERS\se44unic.sys
S3 ss_bus;Samsung Mobile USB Device 1.0 driver (WDM);C:\WINDOWS\system32\DRIVERS\ss_bus.sys
S3 ss_mdfl;SAMSUNG Mobile USB Modem 1.0 Filter;C:\WINDOWS\system32\DRIVERS\ss_mdfl.sys
S3 ss_mdm;SAMSUNG Mobile USB Modem 1.0 Drivers;C:\WINDOWS\system32\DRIVERS\ss_mdm.sys
S3 XDva026;XDva026;\??\C:\WINDOWS\system32\XDva026.sys
S3 ZDPNDIS5;ZDPNDIS5 NDIS Protocol Driver;\??\C:\WINDOWS\system32\ZDPNDIS5.SYS

*Newly Created Service* - CATCHME
.
**************************************************************************

catchme 0.3.1318 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-06 18:52:26
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2007-12-06 18:53:23
.
--- E O F ---


Alt 07.12.2007, 18:53   #6
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



mwav/escan hat mal wieder viele Fehlalarme erzeugt, da gibts kaum Anhaltspunkte. Aber in den anderen Logfiles hab ich komische Dateien gesehen:

Code:
ATTFilter
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\temp\glb1a2b.exe
C:\Dokumente und Einstellungen\Michael\Eigene Dateien\downloads\silver chaos 2 (upped by aarinfantasy)\silver chaos 2_artificial mermaid (upped by aarinfantasy)\silver chaos 2_artificial mermaid (upped by aarinfantasy)\boot.exe
C:\WINDOWS\system32\avgfwafu.dll
C:\WINDOWS\system32\klogon(2).dll
C:\WINDOWS\metr.wax
C:\WINDOWS\metr.dat
C:\WINDOWS\@@desktop.dat
C:\WINDOWS\system32\2380911E4D.sys
C:\WINDOWS\system32\XDva026.sys
         
Werte diese mal bei Virustotal nacheinander aus und poste sämtliche Ergebnisse (abkopieren und hier posten!).

Code:
ATTFilter
C:\WINDOWS\SxsCaPendDel
C:\Programme\NoAdware5.0
C:\Programme\recipie
C:\Programme\Zero G Registry
C:\Programme\alaplaya
         
Kennst du diese Ordner?
Mach danach bitte auch noch Silentrunners. Falls sich noch weitere "krumme" Dateien im System befinden, können wir die evtl. so aufspüren:
Über ein filelisting mit diesem script:

- Script abspeichern per Rechtsklick, speichern unter auf dem Desktop
- Doppelklick auf listing7.cmd auf dem Desktop
- nach kurzer Zeit erscheint eine listing.txt auf dem Desktop
Diese listing.txt z.B. bei file-upload.net hochladen und hier verlinken, da dieses Logfile zu groß fürs Board ist.
__________________
--> Trojaner per ICQ- wie entferne ich ihn wieder?!

Alt 07.12.2007, 19:41   #7
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Also, bin jetzt dabei die dateien zu scannen.
Aber schonmal im voraus:
Silver Chaos ist ungefährlich. das ist ein Spiel, das ich mir hab importieren lassen, allerdings hab ich ein Problem mit folgenden Dateien:
C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\temp\glb1a2b.exe
C:\WINDOWS\system32\avgfwafu.dll

Ich finde sie nämlich nicht mehr. Sie sind quasi verschwunden O_O

Zu den Ordnern:
Alaplaya und Recipie kenne ich. No Adware hatte ich mal installiert zum überprüfen von Viren, aber wieder gelöscht. Die Anderen Ordner kenne ich nicht.

Auf jeden Fall vielen Dank, dass du versuchst mir zu helfen, weil alleine bin ich echt aufgeschmissen. Aber trotzdem: Ist es noch möglich ein Formatieren der Festplatte zu umgehen, oder ist es sehr ernst?
Bin auf diesem Gebiet leider kein fachmann, bzw. keine Fachfrau.

Alt 07.12.2007, 19:58   #8
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



So, hier die Ergebnisse von Virus Total von den dateien, die ich wiederfinden konnte:

File klogon.dll received on 11.30.2007 13:42:02 (CET)
Current status: finished
Result: 0/32 (0%)

Antivirus Version Last Update Result
AhnLab-V3 2007.11.30.1 2007.11.30 -
AntiVir 7.6.0.34 2007.11.30 -
Authentium 4.93.8 2007.11.30 -
Avast 4.7.1074.0 2007.11.29 -
AVG 7.5.0.503 2007.11.29 -
BitDefender 7.2 2007.11.30 -
CAT-QuickHeal 9.00 2007.11.29 -
ClamAV 0.91.2 2007.11.30 -
DrWeb 4.44.0.09170 2007.11.30 -
eSafe 7.0.15.0 2007.11.29 -
eTrust-Vet 31.3.5338 2007.11.30 -
Ewido 4.0 2007.11.30 -
FileAdvisor 1 2007.11.30 -
Fortinet 3.14.0.0 2007.11.30 -
F-Prot 4.4.2.54 2007.11.29 -
F-Secure 6.70.13030.0 2007.11.30 -
Ikarus T3.1.1.12 2007.11.30 -
Kaspersky 7.0.0.125 2007.11.30 -
McAfee 5174 2007.11.29 -
Microsoft 1.3007 2007.11.30 -
NOD32v2 2695 2007.11.30 -
Norman 5.80.02 2007.11.29 -
Panda 9.0.0.4 2007.11.29 -
Prevx1 V2 2007.11.30 -
Rising 20.20.40.00 2007.11.30 -
Sophos 4.23.0 2007.11.30 -
Sunbelt 2.2.907.0 2007.11.30 -
Symantec 10 2007.11.30 -
TheHacker 6.2.9.145 2007.11.30 -
VBA32 3.12.2.5 2007.11.30 -
VirusBuster 4.3.26:9 2007.11.29 -
Webwasher-Gateway 6.6.2 2007.11.30 -
Additional information
File size: 206088 bytes
MD5: 535a597f39f7f6f4a4aa250447357da0
SHA1: 5f3a1528a89f7fbb83739ad1eb2f4c6cd9097d51


Datei metr.wax empfangen 2007.12.07 19:28:10 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.06 -
Avast 4.7.1098.0 2007.12.06 -
AVG 7.5.0.503 2007.12.07 -
BitDefender 7.2 2007.12.07 -
CAT-QuickHeal 9.00 2007.12.07 -
ClamAV 0.91.2 2007.12.07 -
DrWeb 4.44.0.09170 2007.12.07 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5359 2007.12.07 -
Ewido 4.0 2007.12.07 -
FileAdvisor 1 2007.12.07 -
Fortinet 3.14.0.0 2007.12.07 -
F-Prot 4.4.2.54 2007.12.06 -
F-Secure 6.70.13030.0 2007.12.07 -
Ikarus T3.1.1.12 2007.12.07 -
Kaspersky 7.0.0.125 2007.12.07 -
McAfee 5180 2007.12.07 -
Microsoft 1.3007 2007.12.07 -
NOD32v2 2710 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.06 -
Prevx1 V2 2007.12.07 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.07 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.07 -
TheHacker 6.2.9.152 2007.12.07 -
VBA32 3.12.2.5 2007.12.05 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.07 -
weitere Informationen
File size: 72520 bytes
MD5: 4e857229cffb35315c805a6a5173b0e4
SHA1: 2e5f7373baec30b6967265f459964862cc2aae6d
PEiD: -


Datei metr.dat empfangen 2007.12.07 19:34:58 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)
Filter Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.06 -
Avast 4.7.1098.0 2007.12.06 -
AVG 7.5.0.503 2007.12.07 -
BitDefender 7.2 2007.12.07 -
CAT-QuickHeal 9.00 2007.12.07 -
ClamAV 0.91.2 2007.12.07 -
DrWeb 4.44.0.09170 2007.12.07 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5359 2007.12.07 -
Ewido 4.0 2007.12.07 -
FileAdvisor 1 2007.12.07 -
Fortinet 3.14.0.0 2007.12.07 -
F-Prot 4.4.2.54 2007.12.06 -
F-Secure 6.70.13030.0 2007.12.07 -
Ikarus T3.1.1.12 2007.12.07 -
Kaspersky 7.0.0.125 2007.12.07 -
McAfee 5180 2007.12.07 -
Microsoft 1.3007 2007.12.07 -
NOD32v2 2710 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.06 -
Prevx1 V2 2007.12.07 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.07 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.07 -
TheHacker 6.2.9.152 2007.12.07 -
VBA32 3.12.2.5 2007.12.05 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.07 -
weitere Informationen
File size: 16 bytes
MD5: c54f15f7c98bf070df1eeba977924d65
SHA1: bf63855dfcb3d2693d63741bb84bcecdbcf0205a
PEiD: -

Datei 2380911E4D.sys empfangen 2007.12.07 19:49:25 (CET)
Status: Beendet
Ergebnis: 0/32 (0%)
Filter

Antivirus Version letzte aktualisierung Ergebnis
AhnLab-V3 2007.12.8.0 2007.12.07 -
AntiVir 7.6.0.40 2007.12.07 -
Authentium 4.93.8 2007.12.06 -
Avast 4.7.1098.0 2007.12.06 -
AVG 7.5.0.503 2007.12.07 -
BitDefender 7.2 2007.12.07 -
CAT-QuickHeal 9.00 2007.12.07 -
ClamAV 0.91.2 2007.12.07 -
DrWeb 4.44.0.09170 2007.12.07 -
eSafe 7.0.15.0 2007.12.06 -
eTrust-Vet 31.3.5359 2007.12.07 -
Ewido 4.0 2007.12.07 -
FileAdvisor 1 2007.12.07 -
Fortinet 3.14.0.0 2007.12.07 -
F-Prot 4.4.2.54 2007.12.07 -
F-Secure 6.70.13030.0 2007.12.07 -
Ikarus T3.1.1.12 2007.12.07 -
Kaspersky 7.0.0.125 2007.12.07 -
McAfee 5180 2007.12.07 -
Microsoft 1.3007 2007.12.07 -
NOD32v2 2710 2007.12.07 -
Norman 5.80.02 2007.12.07 -
Panda 9.0.0.4 2007.12.06 -
Prevx1 V2 2007.12.07 -
Rising 20.21.42.00 2007.12.07 -
Sophos 4.24.0 2007.12.07 -
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.07 -
TheHacker 6.2.9.152 2007.12.07 -
VBA32 3.12.2.5 2007.12.05 -
VirusBuster 4.3.26:9 2007.12.07 -
Webwasher-Gateway 6.6.2 2007.12.07 -
weitere Informationen
File size: 56 bytes
MD5: 3d553e440abc84ae2e69f8b1b85f07f2
SHA1: c4585d5a160708d38e1dc28077c0d14d1e05fcdc
PEiD: -

Alt 07.12.2007, 20:03   #9
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Silent Runners:

Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by "{++}"


Startup items buried in registry:
---------------------------------

HKCU\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"CTFMON.EXE" = "C:\WINDOWS\system32\ctfmon.exe" [MS]
"NvMediaCenter" = "RUNDLL32.EXE C:\WINDOWS\system32\NVMCTRAY.DLL,NvTaskbarInit" [MS]
"LDM" = "C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe" ["Logitech"]
"DAEMON Tools" = ""C:\Programme\DAEMON Tools\daemon.exe" -lang 1033" ["DT Soft Ltd."]
"NBJ" = ""C:\Programme\Ahead\Nero BackItUp\NBJ.exe"" ["Ahead Software AG"]

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce\ {++}
"ICQ Lite" = "C:\Programme\ICQLite\ICQLite.exe -trayboot" ["ICQ Ltd."]

HKLM\Software\Microsoft\Windows\CurrentVersion\Run\ {++}
"nForce Tray Options" = "sstray.exe /r" ["NVIDIA Corporation"]
"ASUS Probe" = "C:\Program Files\ASUS\Probe\AsusProb.exe" [null data]
"NvCplDaemon" = "RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup" [MS]
"nwiz" = "nwiz.exe /install" ["NVIDIA Corporation"]
"ResModify" = "C:\Programme\USBToolbox\ResModify.EXE" ["ali"]
"NeroFilterCheck" = "C:\WINDOWS\system32\NeroCheck.exe" ["Ahead Software Gmbh"]
"InCD" = "C:\Programme\Ahead\InCD\InCD.exe" ["Ahead Software AG"]
"SunJavaUpdateSched" = "C:\Programme\Java\jre1.5.0_02\bin\jusched.exe" ["Sun Microsystems, Inc."]
"LogitechCommunicationsManager" = ""C:\Programme\Gemeinsame Dateien\LogiShrd\LComMgr\Communications_Helper.exe"" ["Logitech Inc."]
"LogitechQuickCamRibbon" = ""C:\Programme\Logitech\QuickCam10\QuickCam10.exe" /hide" ["Logitech Inc."]
"PHIME2002ASync" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC" [MS]
"PHIME2002A" = "C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName" [MS]
"IMJPMIG8.1" = ""C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32" [MS]
"MSPY2002" = "C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC" [null data]
"SpywareTerminator" = ""C:\Programme\Spyware Terminator\SpywareTerminatorShield.exe"" ["Crawler.com"]
"Sony Ericsson PC Suite" = ""C:\Programme\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions" [null data]
"ICQ Lite" = ""C:\Programme\ICQLite\ICQLite.exe" -minimize" ["ICQ Ltd."]
"QuickTime Task" = ""C:\Programme\QuickTime\qttask.exe" -atboottime" ["Apple Computer, Inc."]
"AVP" = ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe"" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{02478D38-C3F9-4EFB-9B51-7695ECA05670}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar Helper"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
{055FD26D-3A88-4e15-963D-DC8493744B1D}\(Default) = "XTTBPos00"
-> {HKLM...CLSID} = "XTTBPos00 Class"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
-> {HKLM...CLSID} = "AcroIEHlprObj Class"
\InProcServer32\(Default) = "D:\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx" [empty string]
{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}\(Default) = (no title provided)
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Crawler\Toolbar\ctbr.dll" ["Crawler.com"]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
"{42071714-76d4-11d1-8b24-00a0c9068ff3}" = "CPL-Erweiterung für Anzeigeverschiebung"
-> {HKLM...CLSID} = "CPL-Erweiterung für Anzeigeverschiebung"
\InProcServer32\(Default) = "deskpan.dll" [file not found]
"{88895560-9AA2-1069-930E-00AA0030EBC8}" = "Erweiterung für HyperTerminal-Icons"
-> {HKLM...CLSID} = "HyperTerminal Icon Ext"
\InProcServer32\(Default) = "C:\WINDOWS\system32\hticons.dll" ["Hilgraeve, Inc."]
"{1CDB2949-8F65-4355-8456-263E7C208A5D}" = "Desktop Explorer"
-> {HKLM...CLSID} = "Desktop Explorer"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A47}" = "Desktop Explorer Menu"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{1E9B04FB-F9E5-4718-997B-B8DA88302A48}" = "nView Desktop Context Menu"
-> {HKLM...CLSID} = "nView Desktop Context Menu"
\InProcServer32\(Default) = "C:\WINDOWS\system32\nvshell.dll" ["NVIDIA Corporation"]
"{00020D75-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Desktop Icon Handler"
-> {HKLM...CLSID} = "Microsoft Office Outlook"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\MLSHEXT.DLL" [MS]
"{0006F045-0000-0000-C000-000000000046}" = "Microsoft Office Outlook Custom Icon Handler"
-> {HKLM...CLSID} = "Outlook-Dateisymbolerweiterung"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\OLKFSTUB.DLL" [MS]
"{42042206-2D85-11D3-8CFF-005004838597}" = "Microsoft Office HTML Icon Handler"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Microsoft Office\OFFICE11\msohev.dll" [MS]
"{950FF917-7A57-46BC-8017-59D9BF474000}" = "Shell Extension for CDRW"
-> {HKLM...CLSID} = "Shell Extension for CDRW"
\InProcServer32\(Default) = "C:\Programme\Ahead\InCD\incdshx.dll" ["Ahead Software AG"]
"{73B24247-042E-4EF5-ADC2-42F62E6FD654}" = "ICQ Lite Shell Extension"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
"{B28C18DB-6816-4F31-9630-397683E3C2C3}" = "Filzip Shell Extension"
-> {HKLM...CLSID} = "Filzip Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\EAGAME~1\Filzip\fzshext.dll" [empty string]
"{BD88A479-9623-4897-8546-BC62B9628F44}" = "SPTHandler"
-> {HKLM...CLSID} = "SPTHandler"
\InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]
"{738D66C6-0149-4D40-84E4-A7BB2D0CE949}" = "Sony Ericsson File Manager"
-> {HKLM...CLSID} = "Sony Ericsson File Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{03DAACC5-10BA-4E3E-9D54-2A569F6B4B87}" = "Sony Ericsson File Manager"
-> {HKLM...CLSID} = "Sony Ericsson File Manager"
\InProcServer32\(Default) = "C:\Programme\Sony Ericsson\Mobile2\File Manager\FM.dll" ["Popwire AB"]
"{23170F69-40C1-278A-1000-000100020000}" = "7-Zip Shell Extension"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
"{85E0B171-04FA-11D1-B7DA-00A0C90348D6}" = "Statistik f· Web-Anti-Virus"
-> {HKLM...CLSID} = "Statistik f· Web-Anti-Virus"
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]

HKLM\Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\
"WPDShServiceObj" = "{AAA288BA-9A4C-45B0-95D7-94D524869DB5}"
-> {HKLM...CLSID} = "WPDShServiceObj Class"
\InProcServer32\(Default) = "C:\WINDOWS\system32\WPDShServiceObj.dll" [MS]

HKLM\System\CurrentControlSet\Control\Session Manager\
<<!>> "BootExecute" = "autocheck autochk *"| [file not found]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
<<!>> klogon\DLLName = "C:\WINDOWS\system32\klogon.dll" ["Kaspersky Lab"]

HKLM\Software\Classes\PROTOCOLS\Filter\
<<!>> text/xml\CLSID = "{807553E5-5146-11D5-A672-00B0D022E945}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE11\MSOXMLMF.DLL" [MS]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
Filzip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {HKLM...CLSID} = "Filzip Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\EAGAME~1\Filzip\fzshext.dll" [empty string]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\ShellEx.dll" ["Kaspersky Lab"]
SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}"
-> {HKLM...CLSID} = "SPTHandler"
\InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
7-Zip\(Default) = "{23170F69-40C1-278A-1000-000100020000}"
-> {HKLM...CLSID} = "7-Zip Shell Extension"
\InProcServer32\(Default) = "C:\Programme\7-Zip\7-zip.dll" ["Igor Pavlov"]
ICQLiteMenu\(Default) = "{73B24247-042E-4EF5-ADC2-42F62E6FD654}"
-> {HKLM...CLSID} = "MCLiteShellExt Class"
\InProcServer32\(Default) = "C:\Programme\ICQLite\ICQLiteShell.dll" [empty string]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
Filzip\(Default) = "{B28C18DB-6816-4F31-9630-397683E3C2C3}"
-> {HKLM...CLSID} = "Filzip Shell Extension"
\InProcServer32\(Default) = "C:\PROGRA~1\EAGAME~1\Filzip\fzshext.dll" [empty string]
Kaspersky Anti-Virus\(Default) = "{dd230880-495a-11d1-b064-008048ec2fc5}"
-> {HKLM...CLSID} = (no title provided)
\InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\ShellEx.dll" ["Kaspersky Lab"]
SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}"
-> {HKLM...CLSID} = "SPTHandler"
\InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]

HKLM\Software\Classes\AllFilesystemObjects\shellex\ContextMenuHandlers\
SPTContMenu\(Default) = "{BD88A479-9623-4897-8546-BC62B9628F44}"
-> {HKLM...CLSID} = "SPTHandler"
\InProcServer32\(Default) = "C:\Programme\Spyware Terminator\sptcontmenu.dll" ["Crawler.com"]


Group Policies {policy setting}:
--------------------------------

Note: detected settings may not have any effect.

HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System\

"shutdownwithoutlogon" = (REG_DWORD) dword:0x00000001
{Shutdown: Allow system to be shut down without having to log on}

"undockwithoutlogon" = (REG_DWORD) dword:0x00000001
{Devices: Allow undock without having to log on}


Active Desktop and Wallpaper:
-----------------------------

Active Desktop may be disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

Displayed if Active Desktop enabled and wallpaper not set by Group Policy:
HKCU\Software\Microsoft\Internet Explorer\Desktop\General\
"Wallpaper" = "C:\WINDOWS\system32\config\systemprofile\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"

Displayed if Active Desktop disabled and wallpaper not set by Group Policy:
HKCU\Control Panel\Desktop\
"Wallpaper" = "C:\Dokumente und Einstellungen\Michael\Lokale Einstellungen\Anwendungsdaten\Microsoft\Wallpaper1.bmp"


Winsock2 Service Provider DLLs:
-------------------------------

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]
000000000002\LibraryPath = "%SystemRoot%\System32\winrnr.dll" [MS]
000000000003\LibraryPath = "%SystemRoot%\System32\mswsock.dll" [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 29
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05


Toolbars, Explorer Bars, Extensions:
------------------------------------

Toolbars

HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\
"{855F3B16-6D32-4FE6-8A56-BBB695989046}"
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}"
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}"
-> {HKLM...CLSID} = "&Crawler Toolbar"
\InProcServer32\(Default) = "C:\Programme\Crawler\Toolbar\ctbr.dll" ["Crawler.com"]

HKLM\Software\Microsoft\Internet Explorer\Toolbar\
"{327C2873-E90D-4C37-AA9D-10AC9BABA46C}" = "Easy-WebPrint"
-> {HKLM...CLSID} = "Easy-WebPrint"
\InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [empty string]
"{855F3B16-6D32-4FE6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]
"{EF99BD32-C1FB-11D2-892F-0090271D4F88}" = (no title provided)
-> {HKLM...CLSID} = "Yahoo! Toolbar"
\InProcServer32\(Default) = "C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll" ["Yahoo! Inc."]
"{4B3803EA-5230-4DC3-A7FC-33638F3D3542}" = (no title provided)
-> {HKLM...CLSID} = "&Crawler Toolbar"
\InProcServer32\(Default) = "C:\Programme\Crawler\Toolbar\ctbr.dll" ["Crawler.com"]

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{FF059E31-CC5A-4E2E-BF3B-96E929D65503}\(Default) = (no title provided)
-> {HKLM...CLSID} = "&Recherchieren"
\InProcServer32\(Default) = "C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL" [MS]

HKLM\Software\Microsoft\Internet Explorer\Explorer Bars\
{FE54FA40-D68C-11D2-98FA-00C0F0318AFE}\(Default) = (no title provided)
-> {HKLM...CLSID} = "Real.com"
\InProcServer32\(Default) = "C:\WINDOWS\system32\Shdocvw.dll" [MS]

HKLM\Software\Classes\CLSID\{03C1C47F-0538-4645-8372-D3109B9FC636}\(Default) = "Easy-WebPrint"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Canon\Easy-WebPrint\Toolband.dll" [empty string]

HKLM\Software\Classes\CLSID\{85E0B171-04FA-11D1-B7DA-00A0C90348D6}\(Default) = "Statistik f· Web-Anti-Virus"
Implemented Categories\{00021493-0000-0000-C000-000000000046}\ [vertical bar]
InProcServer32\(Default) = "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\SCIEPlgn.dll" ["Kaspersky Lab"]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
"MenuText" = "Sun Java Konsole"
"CLSIDExtension" = "{CAFEEFAC-0015-0000-0002-ABCDEFFEDCBC}"
-> {HKLM...CLSID} = "Java Plug-in 1.5.0_02"
\InProcServer32\(Default) = "C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll" ["Sun Microsystems, Inc."]

{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}\
"ButtonText" = "Statistik f· Web-Anti-Virus"

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
"ButtonText" = "Recherchieren"

{B863453A-26C3-4E1F-A54D-A2CD196348E9}\
"ButtonText" = "ICQ Lite"
"MenuText" = "ICQ Lite"
"Exec" = "C:\Programme\ICQLite\ICQLite.exe" ["ICQ Ltd."]

{CD67F990-D8E9-11D2-98FE-00C0F0318AFE}\
"ButtonText" = "Real.com"

{FB5F1910-F110-11D2-BB9E-00C04F795683}\
"ButtonText" = "Messenger"
"MenuText" = "Windows Messenger"
"Exec" = "C:\Programme\Messenger\msmsgs.exe" [MS]


Miscellaneous IE Hijack Points
------------------------------

HKCU\Software\Microsoft\Internet Explorer\URLSearchHooks\
<<H>> "{855F3B16-6D32-4fe6-8A56-BBB695989046}" = (no title provided)
-> {HKLM...CLSID} = "ICQ Toolbar"
\InProcServer32\(Default) = "C:\PROGRA~1\ICQTOO~1\toolbaru.dll" ["IE Toolbar"]


Running Services (Display Name, Service Name, Path {Service DLL}):
------------------------------------------------------------------

InCD Helper, InCDsrv, "C:\Programme\Ahead\InCD\InCDsrv.exe" ["Ahead Software AG"]
Kaspersky Anti-Virus 7.0, AVP, ""C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 7.0\avp.exe" -r" ["Kaspersky Lab"]
Logitech Process Monitor, LVPrcSrv, "c:\programme\gemeinsame dateien\logishrd\lvmvfm\LVPrcSrv.exe" ["Logitech Inc."]
NVIDIA Display Driver Service, NVSvc, "C:\WINDOWS\system32\nvsvc32.exe" ["NVIDIA Corporation"]
Spyware Terminator Realtime Shield Service, sp_rssrv, ""C:\Programme\Spyware Terminator\sp_rsser.exe"" ["Crawler.com"]


Print Monitors:
---------------

HKLM\System\CurrentControlSet\Control\Print\Monitors\
Microsoft Document Imaging Writer Monitor\Driver = "mdimon.dll" [MS]


---------- (launch time: 2007-12-07 19:53:23)
<<!>>: Suspicious data at a malware launch point.
<<H>>: Suspicious data at a browser hijack point.

+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
launch it from a command prompt or a shortcut with the -all parameter.
+ The search for DESKTOP.INI DLL launch points on all local fixed drives
took 166 seconds.
---------- (total run time: 239 seconds)

Und die Liste:
File-Upload.net - Ihr kostenloser File Hoster!

Alt 08.12.2007, 18:04   #10
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Im silentrunners hab ich nichts Verdächtiges gesehen. Aber im listing.txt sah ich ein paar Kandidaten:

Code:
ATTFilter
C:\WINDOWS\system32\vdmdracp.dat
C:\WINDOWS\system32\fpwprich.dat
C:\WINDOWS\system32\midwrap3402.deu
         
Bitte mal bei Virustotal auswerten und Ergebnisse posten...

Code:
ATTFilter
C:\WINDOWS\SxsCaPendDel
c:\Šw‰€ƒwƒ”ƒ“
         
Überprüf auch mal die Inhalte dieser Ordner (alle Dateien anzeigen lassen!) und werte sie ebenfalls bei Virustotal aus.

Du solltest auch mal dringend ein Java-Update machen - deinstalliere die alte vorhandene Version vorher.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.12.2007, 23:36   #11
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Ich weiß das kommt jetzt dumm, vor allem, weil du dir die Mühe gemacht hast und dich meiner angenommen hast, wofür ich auch sehr dankbar bin,
aber ich habe heute meine Festplatte formatiert und Windows neu aufgespielt. Zwar muss ich jetzt nach und nach wieder alles neu installieren, aber ich hatte ohnehin noch viel müll auf dem PC.
Ich denke mal, das ist einfach die sicherste Methode, weil die Trojaner nicht weniger wurden. Trotzdem, vielen, vielen Dank! ^^

Alt 08.12.2007, 23:57   #12
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Zitat:
Zitat von Erdbeermuffin Beitrag anzeigen
Ich weiß das kommt jetzt dumm, vor allem, weil du dir die Mühe gemacht hast und dich meiner angenommen hast, wofür ich auch sehr dankbar bin,
aber ich habe heute meine Festplatte formatiert und Windows neu aufgespielt.
Solche Entscheidungen begrüße ich!
Plattmachen und Neuaufsetzen ist allemal sicherer und gründlicher.
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Alt 08.12.2007, 23:59   #13
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



War aber auch verdammt viel Arbeit, weil ich das noch nie gemacht habe und dann auch noch dateien vorher absichern, meine Herren XD
Auf jeden fall hab ich daraus meine Lehre gezogen im Web vorsichtiger zu sein und das ist denke ich mal auch was wert, aber auf jeden Fall nochmal Danke für die Hilfe. ^^
War mir in gewisser Weise aber auch einfach zu riskant an meinem PC herum zu experimentieren und am Ende nur noch alles schlimmer zu machen.

Alt 09.12.2007, 00:53   #14
Erdbeermuffin
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Na super, jetzt hab ich das Problem mit den alten Viren gelöst, jetzt hab ich eine neue "Entdeckung" gemacht.
Mein escan hat mir nämlich die beiden folgenden Viren angezeigt:
Iopcom Browser Hijacker und vx2.
Bei vx 2 hab ich den Tool von Ad-Ware benutzt.... obwohl, man kann eher sagen, dass ich es versucht habe, doch der Tool meinte mein System sei sauber. Ich hab keine Ahnung wie ich das hinkriegen soll, denn nochmal formatieren ist mir echt zuviel @.@

Alt 09.12.2007, 01:16   #15
cosinus
/// Winkelfunktion
/// TB-Süch-Tiger™
 
Trojaner per ICQ- wie entferne ich ihn wieder?! - Standard

Trojaner per ICQ- wie entferne ich ihn wieder?!



Hast du die Anleitung zum Neuaufsetzen genau befolgt? War das SP2 installiert und Win-Firewall aktiviert vor dem ersten Gang ins Internet?

MWAV/escan solltest du nicht allzu ernst nehmen....jedenfalls was unter den Punkt "Infektionsmeldungen" angezeigt wird, da tummeln sich erfahrungsgemäß immer sehr viele Fehlalarme!
__________________
"Die Wahrheit ist normalerweise nur eine Entschuldigung für einen Mangel an Fantasie." (Elim Garak)

Das Trojaner-Board unterstützen
Warum Linux besser als Windows ist!

Antwort

Themen zu Trojaner per ICQ- wie entferne ich ihn wieder?!
adobe, application, asus, bho, browseui preloader, components, desktop, dll, entfernen, excel, festplatte, hijackthis, hkus\s-1-5-18, internet, internet explorer, microsoft, monitor, nvidia, programme, rundll, s-1-5-18, software, spyware, spyware terminator, system, trend micro, trojaner, urlsearchhook, usb, virus, windows, windows xp, yahoo, über icq



Ähnliche Themen: Trojaner per ICQ- wie entferne ich ihn wieder?!


  1. Wie entferne ich den ihavenet-Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 09.10.2013 (25)
  2. Wie entferne ich GVU Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 30.09.2013 (16)
  3. BKA trojaner!wie entferne ich ihn in malware?
    Log-Analyse und Auswertung - 22.09.2013 (1)
  4. GVU 2.07 Trojaner entferne
    Plagegeister aller Art und deren Bekämpfung - 26.10.2012 (8)
  5. Wie entferne ich den Trojaner PUP.LoadTubes?
    Log-Analyse und Auswertung - 25.10.2012 (23)
  6. GVU Trojaner mit Webcam - wie entferne ich den?
    Plagegeister aller Art und deren Bekämpfung - 25.08.2012 (14)
  7. trojaner am PC wie entferne ich Ihn?
    Plagegeister aller Art und deren Bekämpfung - 30.07.2012 (3)
  8. Wie entferne ich den BKA-Trojaner vollständig?
    Plagegeister aller Art und deren Bekämpfung - 13.03.2012 (15)
  9. Wie entferne ich Trojaner Win32.agent.tdd?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2011 (1)
  10. MSN Virus wie ENTFERNE ich den wieder?
    Plagegeister aller Art und deren Bekämpfung - 03.07.2010 (18)
  11. Wie entferne ich TR/PSW.Kates.CA.7 Trojaner ?
    Log-Analyse und Auswertung - 22.04.2010 (1)
  12. Wie entferne ich Trojaner yaludle.a?
    Plagegeister aller Art und deren Bekämpfung - 19.01.2009 (3)
  13. Wie entferne ich diese Trojaner???
    Log-Analyse und Auswertung - 26.11.2007 (2)
  14. Wie entferne ich den Trojaner?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2007 (17)
  15. Wie entferne ich den Trojaner TR/Obfuscated.BL ?
    Plagegeister aller Art und deren Bekämpfung - 13.01.2007 (1)
  16. Wie entferne ich den Trojaner TR/Agent.CS ?
    Plagegeister aller Art und deren Bekämpfung - 10.05.2005 (20)
  17. Wie entferne ich die Trojaner???
    Plagegeister aller Art und deren Bekämpfung - 01.03.2005 (8)

Zum Thema Trojaner per ICQ- wie entferne ich ihn wieder?! - Hey erstmal, ich habe mir über ICQ einen Trojaner eingefangen... den groben Teil konnte ich entfernen, aber es ist noch ein Rest übrig geblieben, der einfach nicht zu entfernen ist. - Trojaner per ICQ- wie entferne ich ihn wieder?!...
Archiv
Du betrachtest: Trojaner per ICQ- wie entferne ich ihn wieder?! auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.