Hilfe die Trojaner greifen an!

Hallo, heute hat mir Kaspersky 7 gemeldet, daß ich fgd. Trojaner auf dem PC habe, der sich nicht wirklich löschen bzw. desinfizieren läßt.

Virus Heur.Trojan.Generic (Modifikation)
Datei: C:\System Volume Information\_restore...

Kann mir dabei jemand helfen? Meine PC-Kenntnisse sind nur bedingt, also bitte keine komplizierten Sachen, die ich nicht verstehe.

Hallo Crazymadel
Am besten wäre Hijack This...
Meld dich doch bitte
SpeedFan

Sorry, war aber grad dabei, dieses zu erledigen! Hier die Ergebnisse:


[edit]
Bitte editiere zukünftig deine Links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

Danke.
Sunny
[/edit]

Fix doch bitte diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = %s - Crawler.com

O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

Tut mir Leid SpeedFan ich muss hier Einhalt bieten ich glaub nicht dass du genau weisst was du hier tust!

Zitat:

Zitat von SpeedFan

Fix doch bitte diese Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = %s - Crawler.com

O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)

wie kann ich das fixen?

Hallo SpeedFan
Ich habe Dir hier mal kurz das von Kaspersky gepostet, vielleicht hilft das auch?

22.01.2009 17:46:00 Datei C:\System Volume Information\_restore{0590C34E-426A-4468-9C3F-FD1499936CF9}\RP6\A0000213.msi//bdprof.cab.AE3C3951_7A91_4185_B6E7_BA9F78BFE365//IEShow.exe, gefunden: Virus 'Heur.Trojan.Generic' (Modifikation).
22.01.2009 17:46:00 Es wurden schädliche Objekte gefunden. Die sofortige Desinfektion wird empfohlen.
22.01.2009 17:46:21 Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 211.137.82.53. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 22.01.2009 17:46:21
22.01.2009 18:56:35 Das Update wurde erfolgreich abgeschlossen
22.01.2009 19:07:48 Der Versuch von Prozess mit PID 952 Zugriff auf den Prozess Kaspersky Internet Security mit PID 624 zu erhalten wurde blockiert, weil der Selbstschutzmechanismus ausgelöst wurde.
22.01.2009 19:23:55 Prozess C:\Programme\Trend Micro\HijackThis\HijackThis.exe (PID: 980): verdächtige Aktion. Versuch zum Löschen die Parameter des Browsers Microsoft Internet Explorer (Schlüssel HKEY_USERS\S-1-5-21-57989841-839522115-682003330-1003\Software\Microsoft\Internet Explorer\Main, Wert Search Bar, Daten %s - Crawler.com).
22.01.2009 19:23:59 Prozess C:\Programme\Trend Micro\HijackThis\HijackThis.exe (PID: 980): Versuch zum Löschen die Parameter des Browsers Microsoft Internet Explorer (Schlüssel HKEY_USERS\S-1-5-21-57989841-839522115-682003330-1003\Software\Microsoft\Internet Explorer\Main, Wert Search Bar, Daten %s - Crawler.com) erlaubt.

Also hier in der Anleitung stehts:
http://www.trojaner-board.de/51130-a...ijackthis.html

Ich glaub damit kann Speedfan wenig anfangen

Zitat:

Zitat von Eminemstyle

Tut mir Leid SpeedFan ich muss hier Einhalt bieten ich glaub nicht dass du genau weisst was du hier tust!

Was meinst Du mit Deiner Aussage? Bisher hast Du noch keinen Kommentar zu meinem Problem geschrieben, also bitte verunsicher mich nicht weiter mit solchen Kommentaren es sei, Du hast Infos, die diesen Fall betreffen. Danke!

mh



Ich wollte damit sagen, dass Speedfan nicht genügend Erfahrung hat und nicht genügend Wissen.


Also jetzt, kannst du die Textdatei posten (den Log) von Kaspersky mit genau dieser Meldung des Trojaners?


Deaktiviere die Systemwiederherstellung, im Verlauf der Infektion wurden auch Malwaredateien in Wiederherstellungspunkten mitgesichert - die sind alle nun unbrauchbar, da ein Zurücksetzen des System durch einen Wiederherstellungspunkt das System wahrscheinlich wieder infizieren würde.


Deinstalliere bitte alle Toolbars und Spybot S&D, Spyware Doctor, a-squared free Zone Alarm, eScan und Ad-Aware etc…
Statt Zone Alarm kann die Windows Firewall benutzt werden:
Arbeitsplatz => Systemsteuerung => Netzwerk – und Internetverbindungen => Windows Firewall => Haken bei „aktiv“ setzen.


Mit dem CCleaner wie in der Anleitung benutzen, auch die Registry säubern!


Lade dir Blacklight herunter und führe es aus. Poste anschließend den Log.


Führe danach einen Malwarebytes Scan aus (komplett!). Poste anschließend das entstandene Logfile.


Danach ein neuer frischer HiJackThis Log erstellen und posten.

Also bisher konnte hier kein Pogramm etwas finden. HJT-Log folgt. Danke erstmal für die schnelle Hilfe!!! Werde mal den Kasper fragen, ob er das Trojaner Pogramm noch findet und schicke dann den HTJ-Log rüber...

So hier wird nichts mehr gefunden, habe jetzt nur noch irgendwelche Angriffe auf den Rechner. Es folgen Meldungen wie folgt:
23.01.2009 12:05:05 Intrusion.Win.MSSQL.worm.Helkern! IP-Adresse des Angreifers: 61.139.93.68. Protokoll/Dienst: UDP auf lokalem Port 1434. Zeit: 23.01.2009

Diese Angreifer habe ich täglich zu duzenden, bisher ohne weiter Auswirkungen.

An deiner Stelle würde ich den Rechner sofort vom Netz nehmen und Neuaufsetzen. Wirst von China aus gehackt

Zitat:

Zitat von Leonidas88

An deiner Stelle würde ich den Rechner sofort vom Netz nehmen und Neuaufsetzen. Wirst von China aus gehackt

Dann wird hier von meinem Tel. Anschluß jeder Rechner aus China für interessant empfunden? Habe mir überlegt, Telekom um eine Überprüfung zu bitten, denn mein Kasper blockt alle Angriffe, jedoch ist das doch nicht normal mehr oder?

Hi,

das ist kompletter Blödsinn. Kaspersky macht sich da wichtig, damit man auch niemals wieder diesen Mist von seinem Computer entfernt und Leonidas glaubt es. Es gibt zwar einen Helkern, aber für die Hintergründe einfach mal die Suchfunktion im Forum benutzen. Muss schon einen Grund haben, dass sie jemand programmiert hat. Die ersten 5 Treffer sollten mehr als genug Aufklärung liefern. Da kannst Du hundert mal neu installieren, solange Du diesen Kaspersky draufpackst wirst Du auch wieder den Helkern haben.

Gruß, Karl