Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: Kriege Trojaner nicht weg

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 04.10.2008, 20:13   #1
dudel
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Hallo zusammen. Hab mich hier angemeldet, da ich nicht weiter weiß.
Bekomme seit gestern komische Windows Security Alerts, mit Warnungen über zB Trojan-spy.win32.GreenScreen, Trojan-Spy.win32 Keylogger und ähnlichen. Habe mich darüber informiert, und es schien nichts besonders bedrohliches zu sein. Ging aber nicht weg. Irgendwann hab ich mir dann Spyware Doctor gekauft, der hat einiges gefunden und enfernt, aber das Problem besteht weiterhin. Seit heute findet auch Antivir immer wieder infizierte Dateien (exe Dateien in system.32 oder Dokumente und Einstellungen), kann diese aber nicht löschen. Beim Nachforschen bin ich dann auf dieses HijackThis gestoßen und dachte ihc poste mal mein log hier, und hoffe auf Hilfe. Ich befürchte ich hab ein verseuchtes System dass eine Formatierung braucht, aber hoffe halt immer noch dass es andere Wege gibt.
Hier mal mein log:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:35:17, on 04.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Hijackthis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25
O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Recordpad] "C:\Programme\NCH Swift Sound\Recordpad\recordpad.exe" -logon
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [CfgSet] C:\WINDOWS\system32\pwfgtmxc.exe
O4 - HKLM\..\Policies\Explorer\Run: [21qr3IDG8N] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hmtcniti\lmzirkha.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: PC Health.lnk = C:\Programme\Toshiba\TOSHIBA Management Console\TOSHealthLocalS.vbs
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {1E3F1348-4370-4BBE-A67A-CC7ED824CA85} (Microsoft Genuine Advantage Self Support Tool) - http://go.microsoft.com/fwlink/?LinkId=82580
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O21 - SSODL: strdb - {191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} - C:\Programme\xsbbbfg\strdb.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe


Und bei diesem bin ich mir schon sicher das was nicht stimmt:
O4 - HKLM\..\Policies\Explorer\Run: [21qr3IDG8N] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hmtcniti\lmzirkha.exe

Naja, danke schonmal

Alt 07.10.2008, 16:13   #2
myrtille
/// TB-Ausbilder
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Hi,
arbeite bitte folgendes ab:
ComboFix Ein Leitfaden und Tutorium zur Nutzung von ComboFix
  • Lade dir das Tool hier herunter auf den Desktop -> KLICK
Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:
  • Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser. Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.
  • Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.
  • Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Wichtiger Hinweis:
Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat! Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.
Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

lg myrtille
__________________

__________________

Alt 09.10.2008, 14:11   #3
dudel
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Hallo,
vielen dank erstmal für deine Tips, habe alles durchgeführt.

Zitat:
Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.
Ich habe ehrlich gesagt keinen Button gefunden um meinen vorigen Beitrag zu editieren, deswegen jetzt ein neuer mit meinem log von combofix:

ComboFix 08-10-08.04 - Felix 2008-10-09 13:52:07.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.302 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Felix\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programme\Inet Delivery
C:\Programme\Inet Delivery\inetdl.exe
C:\Programme\Inet Delivery\intdel.exe
C:\WINDOWS\a.bat
C:\WINDOWS\bdn.com
C:\WINDOWS\iTunesMusic.exe
C:\WINDOWS\mslagent
C:\WINDOWS\mssecu.exe
C:\WINDOWS\system32\akttzn.exe
C:\WINDOWS\system32\anticipator.dll
C:\WINDOWS\system32\awtoolb.dll
C:\WINDOWS\system32\bdn.com
C:\WINDOWS\system32\dpcproxy.exe
C:\WINDOWS\system32\drivers\Xprotector.sys
C:\WINDOWS\system32\h@tkeysh@@k.dll
C:\WINDOWS\system32\hoproxy.dll
C:\WINDOWS\system32\hxiwlgpm.dat
C:\WINDOWS\system32\hxiwlgpm.exe
C:\WINDOWS\system32\msgp.exe
C:\WINDOWS\system32\msnbho.dll
C:\WINDOWS\system32\mssecu.exe
C:\WINDOWS\system32\mtr2.exe
C:\WINDOWS\system32\mwin32.exe
C:\WINDOWS\system32\netode.exe
C:\WINDOWS\system32\newsd32.exe
C:\WINDOWS\system32\ps1.exe
C:\WINDOWS\system32\psoft1.exe
C:\WINDOWS\system32\regm64.dll
C:\WINDOWS\system32\Rundl1.exe
C:\WINDOWS\system32\smp
C:\WINDOWS\system32\smp\msrc.exe
C:\WINDOWS\system32\ssvchost.exe
C:\WINDOWS\system32\sysreq.exe
C:\WINDOWS\system32\taack.dat
C:\WINDOWS\system32\taack.exe
C:\WINDOWS\system32\temp#01.exe
C:\WINDOWS\system32\VBIEWER.OCX
C:\WINDOWS\system32\winlogonpc.exe
C:\WINDOWS\system32\winsystem.exe
C:\WINDOWS\system32\WINWGPX.EXE

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-09 bis 2008-10-09 ))))))))))))))))))))))))))))))
.

2008-10-09 13:09 . 2008-10-09 13:09 <DIR> d-------- C:\CCleaner
2008-10-04 19:34 . 2008-10-04 19:36 <DIR> d-------- C:\Hijackthis
2008-10-04 18:58 . 2008-10-04 18:59 1,659,439 --a------ C:\SmitfraudFix.exe
2008-10-04 13:00 . 2008-10-04 13:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-10-04 13:00 . 2008-10-04 12:53 160,792 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-10-03 22:40 . 2008-10-04 13:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2008-10-03 22:17 . 2008-10-09 12:52 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-03 22:17 . 2008-08-25 11:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-10-03 22:17 . 2008-08-25 11:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-10-03 22:17 . 2008-08-25 11:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-10-03 22:17 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-10-03 22:16 . 2008-10-09 12:00 <DIR> d-------- C:\Programme\Spyware Doctor
2008-10-03 22:16 . 2008-10-03 22:16 <DIR> d-------- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\PC Tools
2008-10-03 22:12 . 2008-10-03 22:15 20,355,856 --a------ C:\sdsetup(2).exe
2008-10-03 16:05 . 2008-10-03 16:05 <DIR> d-------- C:\SPYHUNTER13.09.2008
2008-10-03 14:37 . 2008-10-03 18:46 <DIR> d-------- C:\Programme\Enigma Software Group
2008-10-03 14:32 . 2008-10-03 14:36 8,081,952 --a------ C:\SpyHunter-Scanner-Install.exe
2008-10-03 14:30 . 2008-10-03 14:36 20,355,856 --a------ C:\sdsetup.exe
2008-10-03 13:35 . 2008-10-03 13:35 <DIR> d-------- C:\Programme\xsbbbfg
2008-10-03 13:34 . 2008-10-05 14:32 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hmtcniti

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-09 11:06 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\OpenOffice.org2
2008-10-04 17:17 3,920 ----a-w C:\WINDOWS\system32\tmp.reg
2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-29 14:51 --------- d-----w C:\Programme\Guitar Pro 5
2008-08-29 14:50 11,289,948 ----a-w C:\GP5DEMO.exe
2008-08-29 10:56 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\dvdcss
2008-08-27 09:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-23 08:16 21,433,072 ----a-w C:\VeohSetup-3.9.7.1071.exe
2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-08-11 10:31 --------- d-----w C:\Programme\Java
2008-07-25 15:13 63,669 ----a-w C:\armee-des-chaos.zip
2008-07-22 09:05 338,344 ----a-w C:\ripsetup.exe
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-17 19:58 1,558,528 ----a-w C:\iview420g_setup.exe
2008-07-17 15:40 18,502,617 ----a-w C:\TDpainted01.zip
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"00THotkey"="C:\WINDOWS\system32\00THotkey.exe" [2003-05-23 15:23 253952]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-12-25 159744]
"DpUtil"="C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2003-02-13 180224]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"PRONoMgr.exe"="C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2003-09-02 86016]
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 53248]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-10-10 36352]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-27 185896]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-01-07 864256]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Recordpad"="C:\Programme\NCH Swift Sound\Recordpad\recordpad.exe" [2008-07-22 577540]
"000StTHK"="000StTHK.exe" [2001-06-23 21:28 24576 C:\WINDOWS\system32\000StTHK.exe]
"nwiz"="nwiz.exe" [2002-12-12 C:\WINDOWS\system32\nwiz.exe]
"TFncKy"="TFncKy.exe" [BU]
"Tpwrtray"="TPWRTRAY.EXE" [2002-12-10 C:\WINDOWS\system32\TPWRTRAY.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Felix\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-05-22 2756608]
PC Health.lnk - C:\Programme\Toshiba\TOSHIBA Management Console\TOSHealthLocalS.vbs [2007-11-29 3531]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"strdb"= {191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} - C:\Programme\xsbbbfg\strdb.dll [2008-10-03 131072]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2003-09-10 05:47 110592 C:\WINDOWS\system32\LgNotify.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\SopCast\\SopCast.exe"=
"C:\\SopCast\\adv\\SopAdver.exe"=
"C:\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Programme\\Miranda IM\\miranda32.exe"=
"C:\\games\\dawn of war\\W40k.exe"=
"C:\\Programme\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\games\\dawn of war\\W40kWA.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-10-04 160792]
S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\Felix\LOKALE~1\Temp\DMSKSSRh.sys [ ]

*Newly Created Service* - PROCEXP90
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Explorer_Run-21qr3IDG8N - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hmtcniti\lmzirkha.exe


.
------- Zusätzlicher Suchlauf -------
.
FireFox -: Profile - C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Mozilla\Firefox\Profiles\ogze3is2.default\
FF -: plugin - C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\Mozilla\Firefox\Profiles\ogze3is2.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp07076007.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nppl3260.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprjplug.dll
FF -: plugin - C:\Program Files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF -: plugin - C:\Programme\DivX\DivX Content Uploader\npUpload.dll
.

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-09 13:55:14
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-09 13:58:02
ComboFix-quarantined-files.txt 2008-10-09 11:57:44

Vor Suchlauf: 4.153.569.280 Bytes frei
Nach Suchlauf: 4,150,251,520 Bytes frei

181 --- E O F --- 2008-09-10 21:21:55
__________________

Alt 09.10.2008, 18:24   #4
myrtille
/// TB-Ausbilder
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Hi,

du hast alles richtig gemacht. Ich meinte, dass du es in einen "neuen" Beitrag einfügen solltst.
Editieren kann man seine Beiträge hier nur eine Stunde lang.

Wir sind schon fast durch:
Scripten mit Combofix

  • Öffne den Editor ( Start -> Zubehör -> Editor ) kopiere nun folgenden Text in das weiße Feld:

Code:
ATTFilter
folder::
C:\Programme\xsbbbfg
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hmtcniti
         
Speichere diese Datei nun auf dem Desktop unter -> cfscript.txt
  • Nun die Datei cfscript.txt mit der rechten Maustaste auf das Sysmbol von Combofix ziehen!

  • Danach das Combofix nochmal ausführen, das System neu starten und das Log von Combofix posten


Hinweis: Das obige Script ist nur für diesen einen User in dieser Situtation erstellt worden. Es ist auf keinen anderen Rechner portierbar und darf nicht anderweitig verwandt werden, da es das System nachhaltig schädigen kann


lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 09.10.2008, 18:54   #5
dudel
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Ah, alles klar.
Und jetzt das cfsscript mit der rechten Maustaste draufziehen und dann "öffnen mit"?

Ich hab das gerade gemacht, dabei aber vergessen SpywareDoctor zu deaktivieren. Dann hat der mit eine Meldung von "trojan-pws.bancos" gegeben. Was hat das denn zu bedeuten?


Alt 09.10.2008, 19:17   #6
myrtille
/// TB-Ausbilder
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Hi,

Nenn mir bitte die bemängelte Datei von Spyware Doctor. So kann ich da nicht viel zu sagen.

Nimm bitte die linke Maustaste.

lg myrtille
__________________
--> Kriege Trojaner nicht weg

Alt 09.10.2008, 19:21   #7
dudel
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Zweimal direkt hinereinander:

09.10.2008 18:45:22:395
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan-PWS.Bancos
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht Zugang zu eine Datei.
Risiko-Stufe - Hoch
Infektion - C:\32788R22FWJFW\PV.CFEXE

Und:

09.10.2008 18:45:34:783
IntelliGuard: Systemereignis blockiert
Name der Bedrohung - Trojan-PWS.Bancos
Details - Spyware Doctor hat eine Anwendung blockiert, die versucht Zugang zu eine Datei.
Risiko-Stufe - Hoch
Infektion - C:\COMBOFIX\PV.CFEXE

Alt 09.10.2008, 19:30   #8
myrtille
/// TB-Ausbilder
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Hi,

die Dateien gehörne zu Combofix. Fehlalarme bei derartigen Dateien sind sehr häufig. Ich wollte es nur nicht direkt als Fehlalarm abtun, da es natürlich auch sein könnte, dass der Bancos ebenfalls auf deinem Rechner ist, auch wenn ich bisher keine Anzeichen gesehen hab.

Ignorier die Meldungen, bzw deaktivier Spyware Doctor bevor du Combofix startest.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 09.10.2008, 19:44   #9
dudel
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Ok, liegt ja nahe, aber man wird halt auch irgnedwann ein wenig paranoid!
Hier nun das neue Log von Combofix:


ComboFix 08-10-08.05 - Felix 2008-10-09 19:35:29.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.271 [GMT 2:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Felix\Desktop\ComboFix.exe
Benutzte Befehlsschalter :: C:\Dokumente und Einstellungen\Felix\Desktop\cfscript.txt
* Neuer Wiederherstellungspunkt wurde erstellt

Achtung - Auf diesem PC ist keine Wiederherstellungskonsole installiert !!
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\hmtcniti
C:\Programme\xsbbbfg
C:\Programme\xsbbbfg\strdb.dll

.
((((((((((((((((((((((( Dateien erstellt von 2008-09-09 bis 2008-10-09 ))))))))))))))))))))))))))))))
.

2008-10-09 13:09 . 2008-10-09 13:09 <DIR> d-------- C:\CCleaner
2008-10-04 19:34 . 2008-10-09 14:25 <DIR> d-------- C:\Hijackthis
2008-10-04 13:00 . 2008-10-04 13:00 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\PC Tools
2008-10-04 13:00 . 2008-10-04 12:53 160,792 --a------ C:\WINDOWS\system32\drivers\pctfw2.sys
2008-10-03 22:40 . 2008-10-04 13:00 <DIR> d-------- C:\Programme\Gemeinsame Dateien\PC Tools
2008-10-03 22:17 . 2008-10-09 19:32 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-10-03 22:17 . 2008-08-25 11:36 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-10-03 22:17 . 2008-08-25 11:36 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-10-03 22:17 . 2008-08-25 11:36 40,840 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-10-03 22:17 . 2008-06-02 15:19 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-10-03 22:16 . 2008-10-09 19:32 <DIR> d-------- C:\Programme\Spyware Doctor
2008-10-03 22:16 . 2008-10-03 22:16 <DIR> d-------- C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\PC Tools
2008-10-03 16:05 . 2008-10-03 16:05 <DIR> d-------- C:\SPYHUNTER13.09.2008
2008-10-03 14:37 . 2008-10-03 18:46 <DIR> d-------- C:\Programme\Enigma Software Group
2008-10-03 14:30 . 2008-10-03 14:36 20,355,856 --a------ C:\sdsetup.exe

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-10-09 16:39 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\OpenOffice.org2
2008-10-04 17:17 3,920 ----a-w C:\WINDOWS\system32\tmp.reg
2008-10-01 13:51 87,552 ----a-w C:\WINDOWS\system32\VACFix.exe
2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\o4Patch.exe
2008-09-19 10:26 82,944 ----a-w C:\WINDOWS\system32\IEDFix.C.exe
2008-09-08 21:38 88,576 ----a-w C:\WINDOWS\system32\AntiXPVSTFix.exe
2008-08-29 14:51 --------- d-----w C:\Programme\Guitar Pro 5
2008-08-29 14:50 11,289,948 ----a-w C:\GP5DEMO.exe
2008-08-29 10:56 --------- d-----w C:\Dokumente und Einstellungen\Felix\Anwendungsdaten\dvdcss
2008-08-27 09:26 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-08-18 10:19 82,432 ----a-w C:\WINDOWS\system32\404Fix.exe
2008-08-11 10:31 --------- d-----w C:\Programme\Java
2008-07-25 15:13 63,669 ----a-w C:\armee-des-chaos.zip
2008-07-22 09:05 338,344 ----a-w C:\ripsetup.exe
2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll
2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe
2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll
2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll
2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll
2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll
2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll
2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll
2008-07-17 19:58 1,558,528 ----a-w C:\iview420g_setup.exe
2008-07-17 15:40 18,502,617 ----a-w C:\TDpainted01.zip
.

(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]
"DAEMON Tools Lite"="C:\Programme\DAEMON Tools Lite\daemon.exe" [2008-04-01 486856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="NvQTwk" [X]
"00THotkey"="C:\WINDOWS\system32\00THotkey.exe" [2003-05-23 15:23 253952]
"Apoint"="C:\Programme\Apoint2K\Apoint.exe" [2002-12-25 159744]
"DpUtil"="C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe" [2003-02-13 180224]
"avgnt"="C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-19 266497]
"PRONoMgr.exe"="C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe" [2003-09-02 86016]
"mmtask"="C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe" [2006-01-17 53248]
"WinampAgent"="C:\Programme\Winamp\winampa.exe" [2007-10-10 36352]
"SSBkgdUpdate"="C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2003-10-14 155648]
"PaperPort PTD"="C:\Programme\ScanSoft\PaperPort\pptd40nt.exe" [2004-03-09 57393]
"IndexSearch"="C:\Programme\ScanSoft\PaperPort\IndexSearch.exe" [2004-03-09 40960]
"Adobe Reader Speed Launcher"="C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 39792]
"TkBellExe"="C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-04-27 185896]
"ControlCenter2.0"="C:\Programme\Brother\ControlCenter2\brctrcen.exe" [2005-01-07 864256]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]
"Recordpad"="C:\Programme\NCH Swift Sound\Recordpad\recordpad.exe" [2008-07-22 577540]
"000StTHK"="000StTHK.exe" [2001-06-23 21:28 24576 C:\WINDOWS\system32\000StTHK.exe]
"nwiz"="nwiz.exe" [2002-12-12 C:\WINDOWS\system32\nwiz.exe]
"TFncKy"="TFncKy.exe" [BU]
"Tpwrtray"="TPWRTRAY.EXE" [2002-12-10 C:\WINDOWS\system32\TPWRTRAY.EXE]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2004-08-04 15360]

C:\Dokumente und Einstellungen\Felix\Startmen\Programme\Autostart\
OpenOffice.org 2.4.lnk - C:\Programme\OpenOffice.org 2.4\program\quickstart.exe [2008-01-21 393216]

C:\Dokumente und Einstellungen\All Users\Startmen\Programme\Autostart\
Bluetooth Manager.lnk - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2007-05-22 2756608]
PC Health.lnk - C:\Programme\Toshiba\TOSHIBA Management Console\TOSHealthLocalS.vbs [2007-11-29 3531]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\Sebring]
2003-09-10 05:47 110592 C:\WINDOWS\system32\LgNotify.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\SopCast\\SopCast.exe"=
"C:\\SopCast\\adv\\SopAdver.exe"=
"C:\\TVUPlayer\\TVUPlayer.exe"=
"C:\\Programme\\Miranda IM\\miranda32.exe"=
"C:\\games\\dawn of war\\W40k.exe"=
"C:\\Programme\\THQ\\Dawn of War - Dark Crusade\\DarkCrusade.exe"=
"C:\\games\\dawn of war\\W40kWA.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=

R1 pctfw2;pctfw2;C:\WINDOWS\system32\drivers\pctfw2.sys [2008-10-04 160792]
S3 DMSKSSRh;DMSKSSRh;C:\DOKUME~1\Felix\LOKALE~1\Temp\DMSKSSRh.sys [ ]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

SSODL-strdb-{191AC1A7-66E5-1C75-D7C9-014D8DAD4EF2} - C:\Programme\xsbbbfg\strdb.dll



**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-10-09 19:39:03
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
Zeit der Fertigstellung: 2008-10-09 19:41:38
ComboFix-quarantined-files.txt 2008-10-09 17:41:25
ComboFix2.txt 2008-10-09 11:58:03

Vor Suchlauf: 4.112.171.008 Bytes frei
Nach Suchlauf: 4,106,174,464 Bytes frei

127 --- E O F --- 2008-09-10 21:21:55

Alt 09.10.2008, 19:57   #10
myrtille
/// TB-Ausbilder
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Hi,

das sieht gut aus, hast du noch probleme am rechner?

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 13.10.2008, 16:53   #11
dudel
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Tag,
hab jetzt ein Weilchen mit meine Antwort gewartet, weil ich erstmal abwarten wollte. Zuerst kamen keine weiter Meldungen oder ähnliches, mir ist jedoch aufgefallen dass mein Rechner wesentlich langsamer geworden ist. Z.B. braucht er nach dem Hochfahren, also nach dem "Willkommen"-Bildschirm, bis alles reingeladen ist bestimmt 5 Minuten. Kann aber auch an den großen Aufräumaktionen mit Combofix u.ä. liegen dachte ich mir.
Und heute ist auch wieder eine Meldung von AntivirGuard gekommen. Das ist die Meldung:

"In der Datei 'C:\System Volume Information\_restore{902FD36A-0385-4D17-AE3F-AC033CE68363}\RP361\A0046685.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Obfuscated.GX.2541' [trojan] gefunden.
Ausgeführte Aktion: Datei in Quarantäne verschieben

Das TR/Obfuscated kam vorher auch schon immer wieder. Irgend eine Ahnung?

Gruß

Alt 13.10.2008, 18:03   #12
myrtille
/// TB-Ausbilder
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Hi,

wir waren auch noch nicht fertig mit aufräumen. Daher kann es sein, dass in der Systemwiederherstellung noch Malware ist.

Poste bitte ein neues Hijackthislog.

lg myrtille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 13.10.2008, 18:25   #13
dudel
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Ah, na dann, sehr gerne:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:22:56, on 13.10.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\S24EvMon.exe
C:\WINDOWS\system32\ZCfgSvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\RegSrvc.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\1XConfig.exe
C:\WINDOWS\system32\00THotkey.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Apoint2K\Apoint.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
C:\WINDOWS\system32\TPWRTRAY.EXE
C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe
C:\Programme\Winamp\winampa.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
C:\Programme\Apoint2K\Apntex.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Brother\ControlCenter2\brctrcen.exe
C:\Programme\Java\jre1.6.0_07\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\DAEMON Tools Lite\daemon.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.exe
C:\Programme\OpenOffice.org 2.4\program\soffice.BIN
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Miranda IM\miranda32.exe
C:\Hijackthis\HiJackThis.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157]MSN.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = **p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896]Live Search
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O4 - HKLM\..\Run: [00THotkey] C:\WINDOWS\system32\00THotkey.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [Apoint] C:\Programme\Apoint2K\Apoint.exe
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 25
O4 - HKLM\..\Run: [DpUtil] C:\Programme\TOSHIBA\DualPointUtility\TEDTray.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [PRONoMgr.exe] C:\Programme\Intel\PROSetWireless\NCS\PROSet\PRONoMgr.exe
O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE
O4 - HKLM\..\Run: [mmtask] "C:\Programme\Musicmatch\Musicmatch Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SSBkgdUpdate] "C:\Programme\Gemeinsame Dateien\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot
O4 - HKLM\..\Run: [PaperPort PTD] C:\Programme\ScanSoft\PaperPort\pptd40nt.exe
O4 - HKLM\..\Run: [IndexSearch] C:\Programme\ScanSoft\PaperPort\IndexSearch.exe
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [ControlCenter2.0] C:\Programme\Brother\ControlCenter2\brctrcen.exe /autorun
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [Recordpad] "C:\Programme\NCH Swift Sound\Recordpad\recordpad.exe" -logon
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programme\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Programme\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: Bluetooth Manager.lnk = ?
O4 - Global Startup: PC Health.lnk = C:\Programme\Toshiba\TOSHIBA Management Console\TOSHealthLocalS.vbs
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - h**p://go.microsoft.com/fwlink/?linkid=58813
O16 - DPF: {1E3F1348-4370-4BBE-A67A-CC7ED824CA85} (Microsoft Genuine Advantage Self Support Tool) - h**p://go.microsoft.com/fwlink/?LinkId=82580
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - h**p://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: RegSrvc - Intel Corporation - C:\WINDOWS\system32\RegSrvc.exe
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\WINDOWS\system32\S24EvMon.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Programme\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

--
End of file - 7604 bytes

Geändert von dudel (13.10.2008 um 18:31 Uhr)

Alt 13.10.2008, 18:37   #14
myrtille
/// TB-Ausbilder
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Hi,

das Log sieht sauber aus, auch wenn ne Menge mitstartet, was deinen Rechner verlangsamen kann.

Deinstalliere bitte Combofix in dem du unter Start->Ausführen-> "%userprofile%\Desktop\Combofix.exe" /u eingibst. Damit wird auch die Systemwiederherstellung gelöscht.

Besuche bitte mit dem Internet Explorer die Seite Microsoft Windows Update und installiere alle fehlenden Updates.
Besuche vielleicht noch Secunia und überprüfe bitte ob deine Software aktuell ist. (Dazu wird Java benötigt)

lg mytrille
__________________
Anfragen per Email, Profil- oder privater Nachricht werden ignoriert!
Hilfe gibts NUR im Forum!


Wer nach 24 Stunden keine weitere Antwort von mir bekommen hat, schickt bitte eine PM

Spelling mistakes? Never, but keybaord malfunctions constantly!

Alt 14.10.2008, 14:08   #15
dudel
 
Kriege Trojaner nicht weg - Standard

Kriege Trojaner nicht weg



Alles erledigt, und scheint alles gut zu funktionieren. Falls noch was auftritt werd ich mich nochmal melden. Ansonsten herzlichen Dank für die umfassende Hilfe.

Antwort

Themen zu Kriege Trojaner nicht weg
adobe, antivir, avira, bho, controlcenter, dll, einstellungen, exe, exe dateien, explorer, firefox, hijack, hijackthis, hkus\s-1-5-18, immer wieder, infizierte, infizierte dateien, internet, internet explorer, mein log, monitor, mozilla, nvidia, object, problem, rundll, security, spyware, trojaner, windows, windows security, windows security alerts, windows xp



Ähnliche Themen: Kriege Trojaner nicht weg


  1. Kriege Trojaner nicht gelöscht
    Log-Analyse und Auswertung - 29.05.2013 (64)
  2. Kriege Searchnu/414 Trojaner nicht los
    Plagegeister aller Art und deren Bekämpfung - 20.04.2012 (19)
  3. AntiVir meldet Trojaner - Kriege die nicht weg
    Log-Analyse und Auswertung - 16.08.2010 (5)
  4. Kriege Vundo/Monder Trojaner nicht entfernt
    Plagegeister aller Art und deren Bekämpfung - 20.06.2008 (8)
  5. 9 Viren gefunden (Trojaner,Spyware,Adware) - Kriege sie nicht weg!
    Plagegeister aller Art und deren Bekämpfung - 24.03.2008 (9)
  6. TR/Dldr.Zlob.hxf gefunden, kriege den Trojaner nicht entfernt..
    Plagegeister aller Art und deren Bekämpfung - 24.02.2008 (9)
  7. Kriege Trojaner nicht gelöscht!?
    Plagegeister aller Art und deren Bekämpfung - 18.01.2008 (12)
  8. kriege Virus oder Trojaner nicht weg
    Log-Analyse und Auswertung - 17.12.2007 (2)
  9. help me please!!! kriege den Scheiß nicht weg!
    Log-Analyse und Auswertung - 14.09.2007 (1)
  10. Zlob.Download-Ich kriege den Trojaner nicht gelöscht
    Log-Analyse und Auswertung - 30.07.2006 (4)
  11. ich kriege meine Trojaner einfach nicht gelöscht....
    Plagegeister aller Art und deren Bekämpfung - 06.01.2006 (4)
  12. Kriege Trojaner nicht runter
    Log-Analyse und Auswertung - 28.05.2005 (13)
  13. ich kriege die trojaner nicht weg
    Plagegeister aller Art und deren Bekämpfung - 23.05.2005 (4)
  14. Kriege es nicht weg!!!
    Plagegeister aller Art und deren Bekämpfung - 16.05.2005 (5)
  15. Hallo. Ich kriege diesen Trojaner nicht weg.
    Plagegeister aller Art und deren Bekämpfung - 16.12.2004 (2)
  16. Ich kriege den Trojaner nicht runter!!!
    Plagegeister aller Art und deren Bekämpfung - 12.08.2004 (12)
  17. Virus/Trojaner StartPage-CH kriege ich einfach nicht weg!!!
    Plagegeister aller Art und deren Bekämpfung - 16.07.2004 (2)

Zum Thema Kriege Trojaner nicht weg - Hallo zusammen. Hab mich hier angemeldet, da ich nicht weiter weiß. Bekomme seit gestern komische Windows Security Alerts, mit Warnungen über zB Trojan-spy.win32.GreenScreen, Trojan-Spy.win32 Keylogger und ähnlichen. Habe mich darüber - Kriege Trojaner nicht weg...
Archiv
Du betrachtest: Kriege Trojaner nicht weg auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.