Zurück   Trojaner-Board > Malware entfernen > Log-Analyse und Auswertung

Log-Analyse und Auswertung: win:32Trojan-gen{other} und HiJackTHis dazu

Windows 7 Wenn Du Dir einen Trojaner eingefangen hast oder ständig Viren Warnungen bekommst, kannst Du hier die Logs unserer Diagnose Tools zwecks Auswertung durch unsere Experten posten. Um Viren und Trojaner entfernen zu können, muss das infizierte System zuerst untersucht werden: Erste Schritte zur Hilfe. Beachte dass ein infiziertes System nicht vertrauenswürdig ist und bis zur vollständigen Entfernung der Malware nicht verwendet werden sollte.

Antwort
Alt 22.02.2009, 01:19   #1
drea
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Hallo an alle,

ich bin neu hier und suche Hilfe. Habe etwas heruntergeladen und mein avast! (Version 4.8 Home Edition) hat einen Trojaner gefunden, der so heißt, wie ich das Thema genannt habe. Das Programm hat empfohlen, ihn in einen Container zu verschieden, was jedoch nicht geklappt hat, weil eine Fehlermerldung kam. Die hätte ich mir aufschreiben sollen, ich weiß sie leider nicht mehr. Dann hab ich versucht den Trojaner zu löschen, hat mir aber Avast auch nicht gemacht, und verschoben hat er den auch nicht.
Ich habe bereits gegoogelt und bin auf dieses Forum gestoßen. Da wurde HijackThis empfohlen, was ich sogleich ausprobiert habe. Hier der Log dazu. Den Rest, der in diesem Beitrag stand, hab ich leider nicht verstanden, hatte noch nie mit sowas zu tun und kenn mich allgemein nicht so gut aus
Wie kann ich denn im abgesichterten Modus starten? Sorry für die blöden Fragen ...



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 01:53:29, on 22.02.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5730.0011)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\CyberLink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe
C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
C:\Programme\Picasa2\PicasaMediaDetector.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\system32\dllhost.exe
C:\Programme\Babylon\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\HPQ\shared\hpqwmi.exe
C:\Programme\eMule.de 0.46c v17\emule.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\VideoLAN\VLC\vlc.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Alwil Software\Avast4\ashLogV.exe
C:\WINDOWS\system32\taskmgr.exe
C:\Dokumente und Einstellungen\Drea\Desktop\HiJackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.shadowlights.at.tf/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O1 - Hosts: 70.86.83.53 localhost
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [Cpqset] C:\Programme\HPQ\Default Settings\cpqset.exe
O4 - HKLM\..\Run: [HP Software Update] C:\Programme\Hp\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [eabconfg.cpl] C:\Programme\HPQ\Quick Launch Buttons\EabServr.exe /Start
O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe
O4 - HKLM\..\Run: [Picasa Media Detector] C:\Programme\Picasa2\PicasaMediaDetector.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [WatcherHelper] "C:\Programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKCU\..\Run: [BLASC] "C:\Programme\buffed\BLASC.exe" silent
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab
O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-AT/a-UNO1/GAME_UNO1.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{61CC6D52-0A2D-4819-9F1A-913292630059}: NameServer = 192.168.1.254
O17 - HKLM\System\CCS\Services\Tcpip\..\{B44DDF1F-3AF6-4B79-9CD0-FFA42D58AF38}: NameServer = 192.168.1.254
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: HP WMI Interface (hpqwmi) - Hewlett-Packard Development Company, L.P. - C:\Programme\HPQ\shared\hpqwmi.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared files\RichVideo.exe
O23 - Service: Sygate Personal Firewall Pro (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe



Ich bin total dankbar für eure Hilfe!

LG Andrea

Alt 22.02.2009, 12:56   #2
Larusso
/// Selecta Jahrusso
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Hallo Drea

In den Abgesicherten Modus kommst du wenn du während des hochfahrensmehrmals auf F8 drückst

Lade dir bitte Malwarebytes und CCleaner herunter und führe es laut Anleitung aus

Poste mir bitte,WO Avast den Trojaner gefunden hat

Nächster Post
File MBAM
File SuperAntispyware
Fund von Avast(wenn möglich)
__________________


Alt 22.02.2009, 18:25   #3
drea
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Vielen Dank für die Antwort,

ich habe Malwarebytes im abgesicherten Modus laufen lassen. Das ist der Log dazu:

Malwarebytes' Anti-Malware 1.34
Datenbank Version: 1792
Windows 5.1.2600 Service Pack 2

22.02.2009 18:33:09
mbam-log-2009-02-22 (18-33-09).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 111737
Laufzeit: 58 minute(s), 37 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)


Habe vorher jedoch Avast! im normalen Modus nochmals laufen lassen, wobei er 2 infizierte Objekte gefunden hat. Diese hab ich, wie vom Programm empfohlen, in Quarantäne gesteckt (oder wie das heißt).

Als erstes hat Avast! den Trojaner hier gefunden (also gestern Nacht):

22.02.2009 01:47:14 Drea 1928 Sign of "Win32:Adware-gen [Adw]" has been found in "C:\Programme\eMule.de 0.46c v17\Incoming\Download Die W****** securely with new Secured Browser.zip\SecuredeIE_CL_SE_DW_0801.EXE\[Embedded_R#001280]\%MAINDIR%\setup.exe\IgfxSys.dll" file.

Als ich das Virenprogramm heute durchlaufen ließ, fand er folgende 2 Objekte:

22.02.2009 11:57:04 Drea 1196 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Programme\Alwil Software\Avast4\DATA\moved\WR-1-2~1.EXE" file.

und

22.02.2009 12:11:08 Drea 1196 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\System Volume Information\_restore{DFA1E99A-80EE-4E68-B062-4A1313F811EC}\RP475\A0075718.EXE" file.


Leider weiß ich nicht was du mit "File SuperAntispyware" meinst *rotwerd*
Den CCleaner vielleicht? Den hab ich auch laufen lassen, hat über 100 Mb gelöscht. Aber ich habe nicht herausgefunden, wie ich da ein File posten kann.

Hab Avast! nun nochmals laufen lassen, nun findet das Programm nichts mehr.

Ich hoffe ich habe alles richtig gemacht. Die Anleitungen hier sind sehr übersichtlich, sodass man eigentlich gar nichts falsch machen kann und sogar als Laie das durchführen kann. Dennoch bleibt natürlich eine Unsicherheit, ob ich alles richtig gemacht hab

Liebe Grüße
Andrea
__________________

Alt 22.02.2009, 18:34   #4
Larusso
/// Selecta Jahrusso
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Hallo Andrea
Zitat:
22.02.2009 01:47:14 Drea 1928 Sign of "Win32:Adware-gen [Adw]" has been found in "C:\Programme\eMule.de
Ich gebe dir jetzt einen Rat was du dir zu Herzen nehmen solltest:

eMule ist ein P2P Programm was dich eventuell zu Illegalen Handlungen verleitet
Die Daten von dort sind meistens verseucht.Auch wenn du es vielleicht schon länger ohne Probleme verwendest,rate ich dir im eigenem Ermessen davon ab.Malware wird leider nicht weniger und immer mehr Rechner sind verseucht.
Deinstallier bitte eMule

Sorry Link vergessen
SuperAntiSpyware nach Anleitung verwenden

Danach bitte
Deaktivier dein AntiVir Programm
Dein System Online Scannen lassen bei F-Secure
Unbedingt mit IE ins netz gehen
Active X erlauben
Auf Vollständigen Scan umstellen
Bei Funde--->Automatisch bereinigen--->Berichte zeigen-->Auswertung auf dem Desktop speichern

Beide Logfiles posten
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 22.02.2009, 20:23   #5
drea
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Hallo,

danke für deinen Rat.

Hier nun der Bericht von SuperAntiSpyware:

SUPERAntiSpyware Scan Log
http://www.superantispyware.com

Generated 02/22/2009 at 08:27 PM

Application Version : 4.25.1012

Core Rules Database Version : 3769
Trace Rules Database Version: 1729

Scan type : Complete Scan
Total Scan Time : 00:35:54

Memory items scanned : 498
Memory threats detected : 0
Registry items scanned : 4654
Registry threats detected : 0
File items scanned : 40495
File threats detected : 128

Adware.Tracking Cookie
C:\Dokumente und Einstellungen\Drea\Cookies\drea@im.banner.t-online[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@doubleclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adtech[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adfarm1.adition[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.incentaclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@server.iad.liveperson[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@eas.apm.emediate[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.justlanded[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@overture[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@clicktorrent[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tribalfusion[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.oe24[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adbrite[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@incentaclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@int.sitestat[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@komtrack[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adrevolver[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@fastclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@pacificpoker[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.revsci[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@bp.specificclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@zbox.zanox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.clicksor[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.adreactor[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.yieldmanager[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@media.adrevolver[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@euros4click[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@imrworldwide[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.httpool[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.zanox-affiliate[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tacoda[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@track.adform[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tracking.weinwelt[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@atwola[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@server.cpmstar[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@videoegg.adbureau[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@clickbank[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adsrv.admediate[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.gratis-counter[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@rotator.adjuggler[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@wunderloop.zanox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@sales.liveperson[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@servedby.adxpower[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.adshopping[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@zanox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.googleadservices[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de2.komtrack[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ehg-upcchellomedia.hitbox[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.krawall[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.quartermedia[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad2.websingles[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@bertelsmann.122.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@sevenoneintermedia.112.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.advertisingbox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.trafficrank[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@apm.emediate[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@e-2dj6wjmiaoczeeo.stats.esomniture[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.mmoga[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@traffictrack[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads2.net2day[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ssl-cdn.euroclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.addynamix[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.net2day[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@server01.agmedia[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@estat[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.salebroker[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@axelspringer.122.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@specificclick[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.xboxdynasty[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@247realmedia[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.oneview[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@lstat.youku[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.adition[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads4.net2day[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@statse.webtrendslive[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.pointroll[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@cgm.adbureau[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@socialmedia[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@rambler[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads3.net2day[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@arcor.122.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.71i[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ehg-yvesrocher.hitbox[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@account.live[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@stepstone.112.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads3.exp[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@livestat.derstandard[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@content.yieldmanager[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.socialtrack[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserv-new.20six[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tele2.112.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.toptarif[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@e-2dj6wfkiupdpmdp.stats.esomniture[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@iacas.adbureau[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@passende-gedichte-finden[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@eqtracking[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adlegend[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@eas4.emediate[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@stat.youku[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@content.yieldmanager[3].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@test.coremetrics[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ad.websingles[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@toplist[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@bluestreak[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ssl4stats[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.fmxoffice[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@apodiscounter[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@stat.aldi[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@e-2dj6wgk4glczehp.stats.esomniture[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[3].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@msnaccountservices.112.2o7[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@www.etracker[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@media.gan-online[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tracking.quisma[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@tto2.traffictrack[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@s4.trafficmaxx[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ads.bittorrent[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adbureau[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@myroitracking[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@sales.liveperson[3].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@xiti[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@de.sitestat[4].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@ehg-tvtv.hitbox[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@banner.testberichte[2].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@content.yieldmanager.edgesuite[1].txt
C:\Dokumente und Einstellungen\Drea\Cookies\drea@adserver.unitedcolo[1].txt




Und nun von F-Secure:

Scanning Report
Sunday, February 22, 2009 20:39:54 - 21:12:36
Computer name: PAVILION
Scanning type: Scan system for malware, rootkits
Target: C:\


--------------------------------------------------------------------------------

Result: 5 malware found
TrackingCookie.Adtech (spyware)
System
TrackingCookie.Advertising (spyware)
System
TrackingCookie.Atdmt (spyware)
System
TrackingCookie.Doubleclick (spyware)
System
TrackingCookie.Webtrends (spyware)
System

--------------------------------------------------------------------------------

Statistics
Scanned:
Files: 18286
System: 4142
Not scanned: 6
Actions:
Disinfected: 0
Renamed: 0
Deleted: 0
None: 5
Submitted: 0
Files not scanned:
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
C:\WINDOWS\SYSTEM32\CONFIG\SAM
C:\WINDOWS\SYSTEM32\CONFIG\SECURITY
C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE
C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

--------------------------------------------------------------------------------

Options
Scanning engines:
F-Secure USS: 3.0.0
F-Secure Hydra: 3.6.8511, 2009-02-22
F-Secure AVP: 7.0.171, 2009-02-21
F-Secure Pegasus: 1.20.0, 1970-00-01
F-Secure Blacklight: 0.0.0
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JOB LSP MAP MHT MIF PHP POT SWF WMF NWS TAR
Use Advanced heuristics



Ich hätte noch eine Frage ... was macht das "Ding" eigentlich, das ich mir eingefangen hab? Wobei mich bei der Antwort vor allem interessiert, ob ich nun meine Passwörter ändern muss? Kann der Trojaner oder was auch immer das war meine Passwörter einsehen? Bis auf Windows Messenger und Skype habe ich keine gespeichterten Passwörter auf meinem Computer. Und ich war auch darauf bedacht, so wenig Programme als möglich zu öffnen, solange ich dieses Problem nicht behoben hab. Bis jetzt habe ich das Passwort beim Windows Login eingegeben, habe Outlook geöffnet und hier auf dieser Seite natürlich das Passwort eingegeben.

Grüße
Andrea


Alt 22.02.2009, 21:18   #6
Larusso
/// Selecta Jahrusso
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Sieht so aus als hätte sich da was in die Systemwiederherstellung genistet

Deaktivier die Systemwiederherstellung

Schliesse den USB Stick an
Lade dir ComboFix von bleepingComputer.com
Speicher es auf deinem Desktop
Bitte nicht die Maus während Combofix läuft bewegen oder etwas anklicken. Dies könnte Combofix zum Absturz bringen
Starte nun combofix.exe
Lese dir nun die Warnmeldung und Disclaimer genau durch-->mit Ja bestätigen
Es öffnet sich ein blaues Fenster
Schreibe 1-->enter
Nun musst du einen Systemwiederherstellungspunkt erstellen-->Folge dazu genau den Anweisungen
der Scan folgt
Das log wird unter combofix.txt erscheinen
Alles markieren-->strg+C-->und mit strg+v in den Thread einfügen
__________________
--> win:32Trojan-gen{other} und HiJackTHis dazu

Alt 22.02.2009, 21:47   #7
drea
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Huch, ich weiß nicht, ob das nun geklappt hat ... Die Systemwiederherstellung war bereits deaktiviert.
Aber ich versteh nicht, warum ich einen USB Stick anstecken musste ^^
Und es kam mir vor, dass ComboFix alles von selbst gemacht hat.

Hier der Bericht dazu:

ComboFix 09-02-21.01 - Drea 2009-02-22 22:35:47.1 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1150.627 [GMT 1:00]
ausgeführt von:: c:\dokumente und einstellungen\Drea\Desktop\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090221-0] *On-access scanning disabled* (Updated)
* Neuer Wiederherstellungspunkt wurde erstellt
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\windows\system32\winlogon.exe . . . ist infiziert!!

.
((((((((((((((((((((((( Dateien erstellt von 2009-01-22 bis 2009-02-22 ))))))))))))))))))))))))))))))
.

2009-02-22 20:37 . 2009-02-22 20:37 <DIR> d-------- C:\fsaua.data
2009-02-22 19:47 . 2009-02-22 19:47 <DIR> d-------- c:\programme\SUPERAntiSpyware
2009-02-22 19:47 . 2009-02-22 19:47 <DIR> d-------- c:\dokumente und einstellungen\Drea\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-22 19:47 . 2009-02-22 19:47 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2009-02-22 18:47 . 2009-02-22 18:47 <DIR> d-------- c:\programme\CCleaner
2009-02-22 15:56 . 2009-02-22 15:57 <DIR> d-------- c:\programme\Malwarebytes' Anti-Malware
2009-02-22 15:56 . 2009-02-22 15:56 <DIR> d-------- c:\dokumente und einstellungen\Drea\Anwendungsdaten\Malwarebytes
2009-02-22 15:56 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys
2009-02-22 15:56 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys
2009-02-22 12:00 . 2009-02-22 12:00 <DIR> d-------- c:\dokumente und einstellungen\All Users\Anwendungsdaten\Malwarebytes
2009-02-21 14:50 . 2009-02-21 14:50 <DIR> d-------- C:\CrashReport

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-02-22 18:46 --------- d-----w c:\programme\Gemeinsame Dateien\Wise Installation Wizard
2009-02-22 00:47 --------- d-----w c:\programme\eMule.de 0.46c v17
2009-02-22 00:20 --------- d-----w c:\dokumente und einstellungen\Drea\Anwendungsdaten\Skype
2009-02-21 23:06 --------- d-----w c:\dokumente und einstellungen\Drea\Anwendungsdaten\skypePM
2009-02-21 17:40 --------- d-----w c:\programme\Gemeinsame Dateien\Blizzard Entertainment
2009-02-17 22:37 --------- d-----w c:\dokumente und einstellungen\Drea\Anwendungsdaten\dvdcss
2009-01-29 18:39 --------- d-----w c:\dokumente und einstellungen\Drea\Anwendungsdaten\uTorrent
2008-03-06 16:37 32 ----a-w c:\dokumente und einstellungen\All Users\Anwendungsdaten\ezsid.dat
2008-02-02 10:07 67,696 ----a-w c:\programme\mozilla firefox\components\jar50.dll
2008-02-02 10:07 54,376 ----a-w c:\programme\mozilla firefox\components\jsd3250.dll
2008-02-02 10:07 34,952 ----a-w c:\programme\mozilla firefox\components\myspell.dll
2008-02-02 10:07 46,720 ----a-w c:\programme\mozilla firefox\components\spellchk.dll
2008-02-02 10:07 172,144 ----a-w c:\programme\mozilla firefox\components\xpinstal.dll
.

------- Sigcheck -------

2006-10-21 23:01 507392 33aa1f31de9099bb306f4195fec61421 c:\windows\system32\winlogon.exe
.
(((((((((((((((((((((((((((( Autostartpunkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
*Hinweis* leere Einträge & legitime Standardeinträge werden nicht angezeigt.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Babylon Translator"="c:\programme\Babylon\Babylon.exe" [2006-10-22 2400323]
"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2006-07-17 15360]
"NBJ"="c:\programme\Ahead\Nero BackItUp\NBJ.exe" [2004-09-24 1916928]
"SUPERAntiSpyware"="c:\programme\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-01-15 1830128]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ehTray"="c:\windows\ehome\ehtray.exe" [2004-08-10 59392]
"ATIPTA"="c:\programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-22 339968]
"Cpqset"="c:\programme\HPQ\Default Settings\cpqset.exe" [2005-02-17 233534]
"HP Software Update"="c:\programme\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"SynTPLpr"="c:\programme\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\programme\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"eabconfg.cpl"="c:\programme\HPQ\Quick Launch Buttons\EabServr.exe" [2004-12-03 290816]
"hpWirelessAssistant"="c:\programme\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2005-04-11 794624]
"Picasa Media Detector"="c:\programme\Picasa2\PicasaMediaDetector.exe" [2006-12-12 366400]
"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]
"SmcService"="c:\progra~1\Sygate\SPF\smc.exe" [2004-06-30 2376928]
"WatcherHelper"="c:\programme\Sierra Wireless Inc\3G Watcher\WaHelper.exe" [2006-12-16 95776]
"QuickTime Task"="c:\programme\QuickTime\qttask.exe" [2007-04-27 282624]
"RemoteControl"="c:\programme\CyberLink\PowerDVD\PDVDServ.exe" [2007-02-07 71216]
"LanguageShortcut"="c:\programme\CyberLink\PowerDVD\Language\Language.exe" [2007-02-07 54832]
"TkBellExe"="c:\programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" [2008-03-26 185896]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programme\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2008-12-22 11:05 356352 c:\programme\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusDisableNotify"=dword:00000001
"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programme\\MSN Messenger\\msnmsgr.exe"=
"c:\\Programme\\MSN Messenger\\livecall.exe"=
"<NO NAME>"=
"c:\\Programme\\Sierra Wireless Inc\\3G Watcher\\SwiApiMux.exe"=
"c:\\Programme\\CyberLink\\PowerDVD\\PowerDVD.exe"=
"c:\\Programme\\uTorrent\\uTorrent.exe"=
"c:\\Programme\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-03-30 114768]
R1 SASDIFSV;SASDIFSV;c:\programme\SUPERAntiSpyware\sasdifsv.sys [2009-01-15 8944]
R1 SASKUTIL;SASKUTIL;c:\programme\SUPERAntiSpyware\SASKUTIL.SYS [2009-01-15 55024]
R2 {95808DC4-FA4A-4c74-92FE-5B863F82066B};{95808DC4-FA4A-4c74-92FE-5B863F82066B};c:\programme\CyberLink\PowerDVD\000.fcl [2006-11-02 15:51:58 13560]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-03-30 20560]
R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [2006-10-21 200192]
R3 SASENUM;SASENUM;c:\programme\SUPERAntiSpyware\SASENUM.SYS [2009-01-15 7408]
R3 swivsp;AC8xx Virtual Serial Port;c:\windows\system32\drivers\swivspnt.sys [2006-10-12 20352]
S3 FirebirdServerMAGIXInstance;Firebird Server - MAGIX Instance;c:\magix\Common\Database\bin\fbserver.exe [2006-12-13 1527900]

--- Andere Dienste/Treiber im Speicher ---

*NewlyCreated* - F-SECURE_STANDALONE_MINIFILTER
*NewlyCreated* - FSBL
*NewlyCreated* - SASDIFSV
*NewlyCreated* - SASENUM
*NewlyCreated* - SASKUTIL
*Deregistered* - F-Secure Standalone Minifilter
*Deregistered* - fsbl

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{56df9774-1cd7-11dc-b3d7-0014a5109ccb}]
\Shell\AutoRun\command - E:\OnSpcLCK.exe
.
Inhalt des "geplante Tasks" Ordners

2009-02-20 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programme\Apple Software Update\SoftwareUpdate.exe [2007-01-10 14:42]
.
- - - - Entfernte verwaiste Registrierungseinträge - - - -

HKLM-Run-AirCardEnabler - (no file)


.
------- Zusätzlicher Suchlauf -------
.
uStart Page = hxxp://www.shadowlights.at.tf/
IE: Nach Microsoft &Excel exportieren - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
TCP: {61CC6D52-0A2D-4819-9F1A-913292630059} = 192.168.1.254
TCP: {B44DDF1F-3AF6-4B79-9CD0-FFA42D58AF38} = 192.168.1.254
FF - ProfilePath -
.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-02-22 22:37:11
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostarteinträge...

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
Cpqset = c:\programme\HPQ\Default Settings\cpqset.exe????????????6?6?0?6??????? ???B?????????????hLC????????

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\{95808DC4-FA4A-4c74-92FE-5B863F82066B}]
"ImagePath"="\??\c:\programme\CyberLink\PowerDVD\000.fcl"
.
--------------------- Durch laufende Prozesse gestartete DLLs ---------------------

- - - - - - - > 'winlogon.exe'(804)
c:\windows\system32\Ati2evxx.dll
.
Zeit der Fertigstellung: 2009-02-22 22:38:33
ComboFix-quarantined-files.txt 2009-02-22 21:38:26

Vor Suchlauf: 22 Verzeichnis(se), 14.040.195.072 Bytes frei
Nach Suchlauf: 22 Verzeichnis(se), 14,356,344,832 Bytes frei

WindowsXP-KB310994-SP2-Pro-BootDisk-DEU.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

156


Das ist vielleicht ein Prozess, aber danke für die Geduld Gentlman!

Alt 23.02.2009, 20:33   #8
Larusso
/// Selecta Jahrusso
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Passt alles

Lege folgenden Ordner an:C:\Programme\regsrch
Download von regsrch-zip von Bobbi Flekman und entpacke es in den erstellten Ordner
Nun starte regsrch.vbs und und gib als Suchzweig winlogon.exe ein
wenn der scan beendet ist öffnet sich ein Editorfenster
Dies bitte vorher mit strg+A markieren und mit strg+C speichern bevor du es schliesst.Mit strg+V in ein Textdokument speichern oder direkt hier posten
Keine Funde bitte Rückmeldung
Bei Funden bitte Text posten
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 23.02.2009, 20:42   #9
drea
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Hallo,

mal sehen, ob das nun gut oder schlecht ist ...


REGEDIT4
; RegSrch.vbs © Bill James

; Registry search results for string "winlogon.exe" 23.02.2009 21:40:31

; NOTE: This file will be deleted when you close WordPad.
; You must manually save this file to a new location if you want to refer to it again later.
; (If you save the file with a .reg extension, you can use it to restore any Registry changes you make to these values.)


[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Terminal Server\SysProcs]
"winlogon.exe"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\Terminal Server\SysProcs]
"winlogon.exe"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\SysProcs]
"winlogon.exe"=dword:00000000

Alt 23.02.2009, 21:07   #10
Larusso
/// Selecta Jahrusso
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



ne sieht nicht gut aus

Wir können dein System Bereinigen aber ich empfehle dir,wenn es dir möglich ist,dein System neu aufzusetzen.
Wir können nie 100%ig garantieren das wir dein System auch wieder komplett Sauber bekommen
Mit einem bereinigtem System würde ich dir aber von Online-Banking in Zukunft abraten
Wenn du dennoch bereinigen willst

Start-->Ausführen-->notepad reinschreiben
Kopiere nun Folgenden Text aus der Code-Box komplett in das Notepad und Speichere es als CFScript.txt

Schliesse nun alle Browser und offenen Programme
Trenne dich vom Netz
Ziehe nun das CFScript in das ComboFix ICON
ComboFix startet automatisch
Während CF läuft nichts am Rechner arbeiten-->auch nicht mit der Maus
Wenn CF fertig ist speichert es eine File was unter C:\ComboFix.txt zu finden ist
Dies hier Posten

An alle Mitleser
Dieses Script wurde ausschließlich für den User erstellt und darf auf keinen Fall auf anderen Rechnern verwendet werden
Es kann zu erheblichen Problemen mit dem Rechner kommen

Die durchführung dieser Anwweisung erfolgt auf eigene Gefahr
Teile mir bitte mit ob du diesen Schritt machen willst
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Geändert von Larusso (23.02.2009 um 21:45 Uhr) Grund: Skript entfernt

Alt 23.02.2009, 21:27   #11
drea
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Oje, wenn das so gefährlich ist, dann werd ich wohl eher neu aufsetzen müssen. Aber dazu brauch ich Hilfe und die bekomm ich wohl nicht so schnell. Oder was könnte denn passieren, wenn ich das System versuche zu bereinigen?


Mich interessiert noch, ob ich denn meine Dateien speichern kann auf einem externen Speicher? Oder nur bestimmte? Z.B meine eigenen Dateien, sämtliche Fotos, mp3's, Emails ... oder wäre das nicht sinnvoll, weil die infiziert sein könnten?

Alt 23.02.2009, 21:43   #12
Larusso
/// Selecta Jahrusso
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu




Neu aufsetzten ist immer der Sichere Weg und ist auch nicht so schwer

Anleitung
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Alt 23.02.2009, 21:47   #13
drea
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Ja, das kann ich aber wohl trotzdem nicht selbst machen und ich hoffe, ich kann noch meine mir wichtigen Dateien retten.

Ich danke dir jedenfalls für die sehr kompetente Hilfe!

Alt 24.02.2009, 16:49   #14
Larusso
/// Selecta Jahrusso
 
win:32Trojan-gen{other} und HiJackTHis dazu - Standard

win:32Trojan-gen{other} und HiJackTHis dazu



Sorry
Frage übersehen
Datensicherung:

Du kannst dir alle nicht ausführbaren Datein auf eine Externe Festplatte speichern.Hast du ein Freeware AnTiVir Programm kannst du dir die Setup.exe ebenfalls darauf kopieren.
Dein erster Besuch im Internet sollte dich auf die update-Seite von Microsoft führen und lade dir alle Updates unter Benutzerdefiniert herunter bis du nichts mehr angeboten bekommst.
Dies machst du in Zukunft jeden zweiten Dienstag im Monat

Benutze stehts einen allternativen Browser wie Mozilla,Opera.....
IE hat viele Sicherheitslücken aber muss trotzdem UptoDate sein wie auch alle anderen Programme auf deinem System

Verzichte auf P2P oder ähnliches

Wenn du Probleme hast oder Fragen zum Neuaufsetzten oder anderes,kannst du dich jeder Zeit bei uns Melden-->wir helfen gerne

PS:würde mich über eine Rückmeldung freuen wenn das Aufsetzten geklappt hat

Und bedenke: Der unsicherste Malwareschutz sitzt meist 60cm hinter den Bildschrim

Wir wünschen viel Erfolg
__________________
mfg, Daniel

ASAP & UNITE Member
Alliance of Security Analysis Professionals
Unified Network of Instructors and Trusted Eliminators

Lerne, zurück zu schlagen und unterstütze uns!
TB Akademie

Antwort

Themen zu win:32Trojan-gen{other} und HiJackTHis dazu
adobe, antivirus, avast, avast!, babylon, bho, desktop, einstellungen, excel, explorer, firewall, frage, google, hijack, hijackthis, home, internet, internet explorer, launch, löschen, magix, picasa, programm, programme, sierra, software, starten, system, trojaner, trojaner gefunden, windows, windows xp



Ähnliche Themen: win:32Trojan-gen{other} und HiJackTHis dazu


  1. Ein paar Fragen dazu?
    Diskussionsforum - 26.04.2014 (13)
  2. Arbeitsspeicher dazu und Pc geht nicht mehr an
    Netzwerk und Hardware - 15.12.2013 (1)
  3. Zickzackwandernder Mauszeiger, dazu Beeptöne
    Log-Analyse und Auswertung - 19.07.2012 (1)
  4. -Trojan.CryptMar.Gen und noch ein paar dazu
    Log-Analyse und Auswertung - 27.01.2012 (3)
  5. Tut Virtualbox Fragen dazu
    Mülltonne - 31.12.2011 (0)
  6. Win 7 Firewall Control - Frage dazu
    Antiviren-, Firewall- und andere Schutzprogramme - 11.08.2011 (3)
  7. IMO unverdächtiges Log, was sagen die Profis dazu? :-)
    Log-Analyse und Auswertung - 07.10.2009 (2)
  8. Problem wegen Malware > Dazu HiJackThis Logfile
    Log-Analyse und Auswertung - 19.06.2009 (0)
  9. W32/Virut.gen - kleine Frage dazu
    Plagegeister aller Art und deren Bekämpfung - 08.07.2008 (5)
  10. Kann Mir Jemand Dazu Was Sagen?
    Mülltonne - 20.09.2007 (1)
  11. logfile, was sagt ihr dazu
    Log-Analyse und Auswertung - 05.06.2007 (1)
  12. logfile, was meint ihr dazu?
    Log-Analyse und Auswertung - 12.04.2006 (7)
  13. ipp&myu dazu probs wie rattenschwanz
    Plagegeister aller Art und deren Bekämpfung - 11.08.2005 (8)
  14. Kann mir dazu jemand was sagen?
    Plagegeister aller Art und deren Bekämpfung - 09.07.2005 (6)
  15. VBA32 Meinung dazu ?
    Antiviren-, Firewall- und andere Schutzprogramme - 31.05.2005 (5)
  16. kann mir da jem was dazu sagen?
    Log-Analyse und Auswertung - 20.02.2005 (10)

Zum Thema win:32Trojan-gen{other} und HiJackTHis dazu - Hallo an alle, ich bin neu hier und suche Hilfe. Habe etwas heruntergeladen und mein avast! (Version 4.8 Home Edition) hat einen Trojaner gefunden, der so heißt, wie ich das - win:32Trojan-gen{other} und HiJackTHis dazu...
Archiv
Du betrachtest: win:32Trojan-gen{other} und HiJackTHis dazu auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.