Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
anscheinend trojaner

anscheinend trojaner


Plagegeister aller Art und deren Bekämpfung: anscheinend trojaner

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 04.01.2008, 12:37   #1
sterny74
 
anscheinend trojaner - Standard

anscheinend trojaner


hallo ihr,
nach langer zeit bin ich auch mal wieder hier, scheine mir ein trojaner eingefangen zu haben.
zumindest meldet dies eine windows meldung, die des öfteren aufpoppt, wenn ich eine internetseite mit dem internet-explorer öffnen möchte.
dann erscheint die "windows-meldung": your computer was infected by unknown trojan. it`s dangerous for your system (critical files can be lost!)
click ok to download the antispyware program to clean your system (recommended)

er fordert mich dann auf ok zu drücken, was einen download der datei: setup1.exe wäre 2,72 mb groß und käme von files-secure.com

dies hab ich aber noch nicht getan, da ich fast vermute, damit nur noch mehr sch... an viren zu laden.
kann mir jemand helfen ? hab den rechner bereits mit antivir geprüft, der findet aber nix, ebenfalls hab ich den rechner schon runter und wieder hoch gefahren

gruß
robin

Alt 04.01.2008, 13:12   #2
sterny74
 
anscheinend trojaner - Standard

anscheinend trojaner


hallo, sorry, hier der hijack-report

Logfile of HijackThis v1.99.1
Scan saved at 13:08:13, on 04.01.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Prog\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Prog\CyberLink\PowerDVD\PDVDServ.exe
C:\Prog\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
C:\Prog\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE
C:\Prog\AntiVir PersonalEdition Classic\avgnt.exe
C:\Prog\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Prog\Messenger\msmsgs.exe
C:\Prog\T-Online\WLAN-Access Finder\ToWLaAcF.exe
C:\Prog\Microsoft ActiveSync\WCESCOMM.EXE
C:\Prog\Google\Google Updater\GoogleUpdater.exe
C:\Prog\Gemeinsame Dateien\Marmiko Shared\MWLaMaS.exe
C:\WINDOWS\system32\RAMASST.exe
C:\Prog\T-Online\T-Online_Software_6\Info-Cockpit\INFOCOCKPIT.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\sc_watch.exe
C:\Prog\AntiVir PersonalEdition Classic\sched.exe
C:\Prog\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\DVDRAMSV.exe
C:\Prog\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Prog\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\alg.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\WINDOWS\System32\svchost.exe
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\Prog\Spyware Doctor\svcntaux.exe
C:\Prog\Spyware Doctor\swdsvc.exe
C:\Prog\Spyware Doctor\SDTrayApp.exe
C:\Prog\Internet Explorer\iexplore.exe
C:\Prog\Spyware Doctor\swdoctor.exe
C:\Prog\Internet Explorer\iexplore.exe
C:\Prog\WinRAR\WinRAR.exe
C:\DOKUME~1\**\LOKALE~1\Temp\Rar$EX01.917\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
R3 - URLSearchHook: Yahoo! Toolbar Beta - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Rates - {5C28ED27-37BE-40EA-9AEB-FCC19F72682F} - C:\WINDOWS\toprates.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: (no name) - €C 49E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3 - Toolbar: Yahoo! Toolbar Beta - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [MMTray] C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe
O4 - HKLM\..\Run: [RestoreIT!] "C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.EXE" VBStart
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [InfoCockpit] C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE /nosplash
O4 - HKCU\..\Run: [T-Online_Software_6\WLAN-Access Finder] C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe /StartMinimized
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - Startup: PowerReg Scheduler.exe
O4 - Startup: WISO Urteilsmonitor.lnk = C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\MSOffice\Office\OSA9.EXE
O4 - Global Startup: RAMASST.lnk = C:\WINDOWS\system32\RAMASST.exe
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.gericom.com
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99F7-4BB4-88D8-FA1D4F56A2AB} (YInstStarter Class) - http://us.dl1.yimg.com/download.yahoo.com/dl/yinst/yinst_current.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098532492370
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1198499821130
O17 - HKLM\System\CCS\Services\Tcpip\..\{C299C16F-B347-4726-90CF-5EDC2214F917}: NameServer = 192.168.2.1
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: DVD-RAM_Service - Matsushita Electric Industrial Co., Ltd. - C:\WINDOWS\system32\DVDRAMSV.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: Phoenix VCD Service (PhnxVCDService) - Phoenix Technologies Ltd. - C:\WINDOWS\system32\PhnxCDSvr.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\svcntaux.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe





Zitat:
Zitat von sterny74 Beitrag anzeigen
hallo ihr,
nach langer zeit bin ich auch mal wieder hier, scheine mir ein trojaner eingefangen zu haben.
zumindest meldet dies eine windows meldung, die des öfteren aufpoppt, wenn ich eine internetseite mit dem internet-explorer öffnen möchte.
dann erscheint die "windows-meldung": your computer was infected by unknown trojan. it`s dangerous for your system (critical files can be lost!)
click ok to download the antispyware program to clean your system (recommended)

er fordert mich dann auf ok zu drücken, was einen download der datei: setup1.exe wäre 2,72 mb groß und käme von files-secure.com

dies hab ich aber noch nicht getan, da ich fast vermute, damit nur noch mehr sch... an viren zu laden.
kann mir jemand helfen ? hab den rechner bereits mit antivir geprüft, der findet aber nix, ebenfalls hab ich den rechner schon runter und wieder hoch gefahren

gruß
robin
__________________
Alt 04.01.2008, 14:09   #3
11Boy11
 
anscheinend trojaner - Standard

anscheinend trojaner


Hi,

fixe bitte folgendes:

Zitat:
O2 - BHO: (no name) - €C 49E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
Lasse anschließend Combofix durchlaufen, und poste den Bericht.

- Combofix

combofix.exe starten und bestätige die Abfrage mit 1 und drücke Enter

Achtung:

Combofix nimmt ein wenig Zeit in anspruch!
Bitte nichts während des Scans am Pc machen

Es kann auch sein, dass dein Computer zwischendurch mal herunterfährt!
__________________
__________________
Alt 04.01.2008, 15:19   #4
sterny74
 
anscheinend trojaner - Standard

anscheinend trojaner


hi,
sorry, was meinst du mit "Fixen" ?
danach das programm runterladen und laufen lassen ist verstanden, aber fixen ??

gruß
robin

Alt 04.01.2008, 15:55   #5
sterny74
 
anscheinend trojaner - Standard

anscheinend trojaner


hi,
ich geh mal davon aus, daß du unter "fixen" das entsprechende fixen unter hi-jack gemeint hst. nun, das hab ich getan und mit combofix gescannt, hier der bericht:

ComboFix 08-01-04.1 - Robin 2008-01-04 15:50:11.2 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1031.18.130 [GMT 1:00]
ausgeführt von:: C:\Utilitys\hijack-this\ComboFix.exe
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\_install.exe nicht gefunden

.
((((((((((((((((((((((( Dateien erstellt von 2007-12-04 bis 2008-01-04 ))))))))))))))))))))))))))))))
.

2008-01-04 15:20 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe
2008-01-04 14:30 . 2008-01-04 14:30 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Anwendungsdaten\Webroot
2008-01-04 14:30 . 2007-10-01 16:24 163,640 --a------ C:\WINDOWS\system32\drivers\ssidrv.sys
2008-01-04 14:30 . 2007-10-01 16:24 23,864 --a------ C:\WINDOWS\system32\drivers\sskbfd.sys
2008-01-04 14:30 . 2007-10-01 16:24 21,816 --a------ C:\WINDOWS\system32\drivers\sshrmd.sys
2008-01-04 14:30 . 2007-10-01 16:24 20,280 --a------ C:\WINDOWS\system32\drivers\SSFS0BB9.sys
2008-01-04 14:29 . 2008-01-04 14:29 <DIR> d-------- C:\Programme\Webroot
2008-01-04 14:29 . 2008-01-04 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\Webroot
2008-01-04 14:29 . 2008-01-04 14:29 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Webroot
2008-01-04 14:29 . 2007-10-01 16:40 1,526,072 --a------ C:\WINDOWS\WRSetup.dll
2008-01-04 14:21 . 2008-01-04 14:21 164 --a------ C:\install.dat
2008-01-04 12:56 . 2008-01-04 15:06 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-01-04 12:42 . 2005-09-23 08:29 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll
2008-01-04 11:01 . 2008-01-04 11:01 45 --a------ C:\tmp.bat
2008-01-02 14:32 . 2006-10-04 15:06 1,197,294 -----c--- C:\WINDOWS\system32\dllcache\sysmain.sdb
2008-01-02 14:32 . 2006-10-04 15:06 764,868 -----c--- C:\WINDOWS\system32\dllcache\apph_sp.sdb
2008-01-02 14:32 . 2006-10-04 15:06 217,118 -----c--- C:\WINDOWS\system32\dllcache\apphelp.sdb
2008-01-02 14:31 . 2008-01-02 14:31 <DIR> d-------- C:\Programme\Windows Media Connect 2
2008-01-02 14:28 . 2008-01-02 14:29 <DIR> d-------- C:\WINDOWS\system32\drivers\UMDF
2008-01-02 11:04 . 2008-01-04 14:32 <DIR> d-------- C:\Programme\Google
2007-12-25 11:00 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll
2007-12-25 11:00 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-01-04 14:47 --------- d-----w C:\Programme\ICQToolbar
2007-12-02 18:58 --------- d-----w C:\Programme\Avi2DVD
2007-12-02 13:27 --------- d-----w C:\Programme\AviSynth 2.5
2007-11-17 18:10 --------- d-----w C:\Programme\WISO
2007-11-17 18:10 --------- d-----w C:\Programme\Gemeinsame Dateien\Buhl Data Service
2007-11-17 18:10 --------- d-----w C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\InstallShield Installation Information
2007-11-17 18:02 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Buhl Data Service GmbH
2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys
2007-10-29 22:42 1,293,312 ----a-w C:\WINDOWS\system32\quartz.dll
2007-10-25 08:28 222,720 ----a-w C:\WINDOWS\system32\wmasf.dll
2007-05-31 18:30 9 ----a-w C:\Dokumente und Einstellungen\Robin\Anwendungsdaten\mdb.bin
2004-10-23 16:59 8 --sh--r C:\WINDOWS\system32\C96DC0155D.sys
2004-10-23 16:59 2,828 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"Power2GoExpress"="" []
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"PowerBar"="" []
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe" [ ]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 13:27 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 16:50 671796]
"H/PC Connection Agent"="C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE" [2002-01-12 18:43 401496]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-08-12 20:10 339968]
"RemoteControl"="C:\Programme\CyberLink\PowerDVD\PDVDServ.exe" [2003-10-31 18:42 32768]
"mmtask"="c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe" [ ]
"MMTray"="C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mm_tray.exe" [2003-10-01 10:56 114688]
"farstone"="" []
"RestoreIT!"="C:\Programme\Phoenix Technologies Ltd\RecoverPro_XP\VBPTASK.exe" [2004-05-27 18:54 114688]
"avgnt"="C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" [2007-10-11 20:50 249896]
"ToADiMon.exe"="C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe" [2007-02-15 09:04 282624]
"SpySweeper"="C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe" [2007-10-01 16:40 5367608]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]
"InfoCockpit"="C:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.exe" [2007-07-30 13:27 176128]
"T-Online_Software_6\WLAN-Access Finder"="C:\Programme\T-Online\WLAN-Access Finder\ToWLaAcF.exe" [2007-07-25 16:50 671796]

C:\Dokumente und Einstellungen\Robin\Startmen\Programme\Autostart\
PowerReg Scheduler.exe [2005-01-07 00:54:41]
WISO Urteilsmonitor.lnk - C:\Programme\WISO\Sparbuch 2008\urteilsmonitor.exe [2007-11-17 19:11:39]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Adobe Reader - Schnellstart.lnk - C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 03:44:06]
Microsoft Office.lnk - C:\Programme\MSOffice\Office\OSA9.EXE [1999-04-29 23:00:00]
RAMASST.lnk - C:\WINDOWS\system32\RAMASST.exe [2004-10-23 17:51:59]

R0 avgntmgr;avgntmgr;C:\WINDOWS\system32\drivers\avgntmgr.sys [2007-09-06 18:00]
R0 RITCPT;RITCPT;C:\WINDOWS\system32\drivers\RITCPT.sys [2004-05-18 22:43]
R0 VVBackd5;VVBackd5;C:\WINDOWS\system32\drivers\VVBackd5.sys [2004-05-18 22:44]
R1 avgntdd;avgntdd;C:\WINDOWS\system32\DRIVERS\avgntdd.sys [2007-09-06 18:00]
R2 FBAPI;FBAPI;C:\WINDOWS\system32\drivers\FBAPI.sys [2004-05-18 22:43]
R2 MZCCntrl;T-Online WLAN Adapter Steuerungsdienst;C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe [2007-01-09 15:16]
R3 CONAN;CONAN;C:\WINDOWS\system32\drivers\o2mmb.sys [2004-02-12 03:18]
R3 MACNDIS5;MACNDIS5 NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MACNDIS5.SYS [2006-10-04 07:14]
R3 MbxStby;MbxStby;C:\WINDOWS\system32\drivers\MbxStby.sys [2004-01-28 16:15]
R3 PhnxVcd;PhnxVcd;C:\WINDOWS\system32\Drivers\PhnxVcd.sys [2004-01-05 19:39]
S3 MIINPazX;MIINPazX NDIS Protocol Driver;C:\PROGRA~1\GEMEIN~1\MARMIK~1\MInfraIS\MIINPazX.SYS [2006-10-09 13:03]
S3 MTOnlPktAlyX;MTOnlPktAlyX NDIS Protocol Driver;C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis1\MTOnlPktAlyX.SYS [2006-10-09 12:46]
S3 p2pgasvc;Peernetzwerk-Gruppenauthentifizierung;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
S3 p2pimsvc;Peernetzwerkidentitäts-Manager;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
S3 p2psvc;Peernetzwerk;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]
S3 PLUsbbc2;Hi-Speed USB Bridge Cable Driver;C:\WINDOWS\system32\Drivers\usbbc2.sys [2003-03-04 09:46]
S3 PNRPSvc;Peer Name Resolution-Protokoll;C:\WINDOWS\System32\svchost.exe [2004-08-03 23:58]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]
p2psvc REG_MULTI_SZ p2psvc p2pimsvc p2pgasvc PNRPSvc

.
Inhalt des "geplante Tasks" Ordners
"2008-01-04 13:30:23 C:\WINDOWS\Tasks\wrSpySweeperTrialSweep.job"
- C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.exe&/ScheduleSweep=wrSpySweeperTrialSweep
- C:\Programme\Webroot\Spy Sweeper\SpySweeperUI.ex
- C:\
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-01-04 15:52:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"T-Online_Software_6\\WLAN-Access Finder"="\"C:\\Programme\\T-Online\\WLAN-Access Finder\\ToWLaAcF.exe\" /StartMinimized"
.
Zeit der Fertigstellung: 2008-01-04 15:53:47
ComboFix-quarantined-files.txt 2008-01-04 14:53:30
ComboFix2.txt 2008-01-04 14:37:44
.
2008-01-03 08:23:35 --- E O F ---


Alt 04.01.2008, 16:45   #6
BataAlexander
> MalwareDB
 
anscheinend trojaner - Standard

anscheinend trojaner


Du hast im combofix Ordner eine Datei namens catchme.cfexe, benenne diese bitte nach catchme.exe um, starte sie, gehe auf den Reiter "script" und fuege dort folgendes ein:

files:
c:\_install.exe

Waehle dann RUN und schau, ob du ein Zip mit Namen catchme.zip auf dem Desktop findest. Wird dort ausser der Log datei auch die install.exe aufgefuehrt? Wenn nein, poste bitte den Inhalt des Reportes/Logs.

Dann prüfe noch die Dateien

C:\tmp.bat
C:\install.dat

bei VirusTotal - Free Online Virus and Malware Scan und poste das Ergebnis hier (incl. MD5 / SHA1 und dem Kopf).

Alt 30.01.2008, 14:39   #7
janb85
 
anscheinend trojaner - Standard

anscheinend trojaner


Hallo,
ich hab genau das gleiche Problem.

Hier ist der logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:38:07, on 30.01.2008
Platform: Windows Vista (WinNT 6.00.1904)
MSIE: Internet Explorer v7.00 (7.00.6000.16575)
Boot mode: Normal

Running processes:
C:\Windows\System32\smss.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\wininit.exe
C:\Windows\system32\csrss.exe
C:\Windows\system32\services.exe
C:\Windows\system32\lsass.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\winlogon.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\AVG7\avgcc.exe
C:\Program Files\Spyware Doctor\SDTrayApp.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Windows\ehome\ehtray.exe
C:\Program Files\ESI\U46\u46pan1.exe
C:\Windows\system32\agrsmsvc.exe
C:\PROGRA~1\AVG7\avgamsvr.exe
C:\PROGRA~1\AVG7\avgupsvc.exe
C:\PROGRA~1\AVG7\avgrssvc.exe
C:\PROGRA~1\AVG7\avgemc.exe
C:\PROGRA~1\AVG7\avgrssvc.exe
C:\Program Files\CDBurnerXP\NMSAccessU.exe
C:\Windows\System32\svchost.exe
C:\Windows\ehome\ehmsas.exe
C:\Windows\system32\svchost.exe
C:\Program Files\Spyware Doctor\svcntaux.exe
C:\Program Files\Spyware Doctor\swdsvc.exe
C:\Windows\system32\svchost.exe
C:\Windows\System32\svchost.exe
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Windows\ehome\mcupdate.EXE
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\conime.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\HijackThis\HijackThis.exe
C:\Windows\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://de.blackle.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: Player - {F3DDAB38-C6E3-4EF8-A543-6E8625A61D93} - C:\Windows\orgnavi.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [SDTray] "C:\Program Files\Spyware Doctor\SDTrayApp.exe"
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\PROGRA~1\AVG7\avgw.exe /RUNONCE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [AVG7_Run] C:\PROGRA~1\AVG7\avgw.exe /RUNONCE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [AVG7_Run] C:\PROGRA~1\AVG7\avgw.exe /RUNONCE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: PacificPoker4 - {94EDF7B4-4272-4af3-8F8B-4E2F68E225B7} - C:\PROGRA~1\PACIFI~1\pacificpoker.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Program Files\ICQ6\ICQ.exe
O9 - Extra button: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O9 - Extra 'Tools' menuitem: PartyPoker.net - {F4430FE8-2638-42e5-B849-800749B94EED} - C:\Program Files\PartyGaming.Net\PartyPokerNet\RunPF.exe
O13 - Gopher Prefix:
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O20 - Winlogon Notify: avgwlntf - C:\Windows\SYSTEM32\avgwlntf.dll
O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Windows\system32\agrsmsvc.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgupsvc.exe
O23 - Service: AVG7 Resident Shield Service (AvgCoreSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgrssvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\AVG7\avgemc.exe
O23 - Service: Google Updater Service (gusvc) - Unknown owner - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe (file missing)
O23 - Service: NMSAccessU - Unknown owner - C:\Program Files\CDBurnerXP\NMSAccessU.exe
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program Files\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program Files\Spyware Doctor\swdsvc.exe

--
End of file - 6279 bytes

Danke

Gruß Jan

Antwort

Themen zu anscheinend trojaner
antispyware, antivir, clean, computer, datei, download, ebenfalls, eingefangen, files, gen, helfen, infected, internet-explorer, internetseite, meldet, meldung, rechner, runter, seite, setup, system, trojane, trojaner, trojaner eingefangen, viren, windows, windows meldung, öffnen


« services.exe | Hilfe Dringend »


Ähnliche Themen: anscheinend trojaner


  1. Zeus Bot anscheinend auf PC// Brief von Telekom
    Plagegeister aller Art und deren Bekämpfung - 10.06.2015 (21)
  2. (Anscheinend) Nicht entfernbarer Virus
    Plagegeister aller Art und deren Bekämpfung - 04.03.2015 (15)
  3. Anscheinend Trojaner auf Windows 7/64 bit
    Plagegeister aller Art und deren Bekämpfung - 19.10.2014 (11)
  4. Bundespolizei Trojaner - anscheinend neueste Version - kein abgesicherter Modus möglich
    Plagegeister aller Art und deren Bekämpfung - 31.07.2013 (7)
  5. GVU Trojaner, Windows neu aufgesetzt, anscheinend nicht ausreichend
    Plagegeister aller Art und deren Bekämpfung - 19.05.2013 (11)
  6. Bitte um Hilfe beim GVU -Trojaner der anscheinend nen Rattenschwanz zum Vorschein bringt.
    Plagegeister aller Art und deren Bekämpfung - 24.02.2013 (6)
  7. Bundes-/GVU-Trojaner, anscheinend neueste Version, nix geht mehr (win7)
    Plagegeister aller Art und deren Bekämpfung - 25.11.2012 (2)
  8. Malware die anscheinend nicht wegzukriegen ist
    Plagegeister aller Art und deren Bekämpfung - 24.10.2012 (15)
  9. Anscheinend Bundespolizei-Trojaner auf Rechner meines Freundes
    Plagegeister aller Art und deren Bekämpfung - 24.07.2012 (2)
  10. Anscheinend mit Trojaner von Facebook infiziert
    Log-Analyse und Auswertung - 24.10.2011 (25)
  11. Alter HP Laptop von Trojaner befallen und Neuformatierung anscheinend nicht möglich
    Plagegeister aller Art und deren Bekämpfung - 31.10.2010 (18)
  12. onlinebanking gesperrt da anscheinend trojaner auf pc?
    Antiviren-, Firewall- und andere Schutzprogramme - 14.10.2010 (4)
  13. Anscheinend wider ein Trojaner
    Plagegeister aller Art und deren Bekämpfung - 28.06.2010 (7)
  14. Dropper.Gen und anscheinend Sasser
    Log-Analyse und Auswertung - 08.06.2010 (13)
  15. Hab da anscheinend nen Trojaner^^
    Log-Analyse und Auswertung - 05.05.2010 (13)
  16. autorun.inf - boot.com - anscheinend trojaner
    Log-Analyse und Auswertung - 01.02.2009 (2)
  17. ich hab anscheinend einen trojaner! kann jemand helfen?
    Log-Analyse und Auswertung - 13.09.2005 (14)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema anscheinend trojaner - hallo ihr, nach langer zeit bin ich auch mal wieder hier, scheine mir ein trojaner eingefangen zu haben. zumindest meldet dies eine windows meldung, die des öfteren aufpoppt, wenn ich - anscheinend trojaner...
Archiv
Du betrachtest: anscheinend trojaner auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129