|
... wie hab ich das nur angestellt Halli Hallo! Seit gestern Abend bin ich knapp am verzweifeln *args*. Hab es irgendwie geschafft Trojanern auf meinem Rechner Zutritt zu verschaffen :( Nach x-Durchläufen mit meinem Virenscanner (AV-Guard) und a bissel selbstständigem ausmisten bin ich der Meinung - das kann's noch nicht gewesen sein. Kann sich mal jmd das Logfile anschauen? Befürchte fast, als Antwort "setz den PC neu auf" zu bekommen... aber gibt's da auch andere Mittel und Wege ;) ? LG, Sandra ---------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 06:49:39, on 23.08.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\CmWatch.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\Logitech\iTouch\iTouch.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\wdfmgr.exe C:\WINDOWS\system32\ZONELABS\vsmon.exe C:\Dokumente und Einstellungen\Sandra Hemer\Desktop\Hijack\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [CmCardRun] C:\WINDOWS\system32\CmWatch.exe O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: iTouch.exe.lnk = C:\Programme\Logitech\iTouch\iTouch.exe O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm O8 - Extra context menu item: &Google-Suche - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: &Ins Deutsche übersetzen - res://C:\Programme\Google\GoogleToolbar1.dll/cmwordtrans.html O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE O15 - Trusted Zone: *.asdbiz.biz O15 - Trusted Zone: *.skoobidoo.com O15 - Trusted Zone: *.slotchbar.com O15 - Trusted Zone: *.windupdates.com O15 - Trusted Zone: *.asdbiz.biz (HKLM) O15 - Trusted Zone: *.skoobidoo.com (HKLM) O15 - Trusted Zone: *.slotchbar.com (HKLM) O15 - Trusted Zone: *.windupdates.com (HKLM) O15 - Trusted IP range: 67.19.178.84 O15 - Trusted IP range: 67.19.178.84 (HKLM) O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - h**p://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - h**p://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-24.cab O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - h**p://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - h**p://messenger.msn.com/download/msnmessengersetupdownloader.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{6E6947B0-E8C2-49A2-8E95-82EE65006731}: NameServer = 192.168.120.252,192.168.120.253 O21 - SSODL: SysTray.Excn - {1722ECFF-4356-4f5b-B534-E67294FE75E9} - (no file) O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Loading Outpost Connections (KDE) - Unknown owner - C:\WINDOWS\System32\cmdtel.exe (file missing) O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2004\WinStylerThemeSvc.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe |
Hallo, sandra! Tja,... Zitat:
Troj/LowZone-W http://www.sophos.de/virusinfo/analy...jlowzonew.html auch noch ein E-mail Wurm mit möglicher Backdoor-Funktion aktiv war! Zitat:
Obwohl zu dieser Variante (noch) keine konkreten Infos verfügbar sind, muss man von der Möglichkeit einer Kompromitierung Deines Systems durch eine Backdoor-Funktion ausgehen, da die ganze *bagz*-Bande diesbezüglich sehr verdächtig ist. Dazu siehe auch http://www.bitdefender.com/VIRUS-439...Bagz.B@mm.html oder http://www.trojaner-board.de/archive...p/t-15600.html Zitat:
http://www.trojaner-board.de/showthread.php?t=12154 Viel Glück und sichere Dein System vor dem ersten Einstieg ins I-Net wie hier im board empfohlen ab! stupormundi |
C:\PROGRA~1\DAP\DAP.EXE Dieser Eintrag hat könnte es auch in sich haben: http://www.sophos.de/virusinfo/analyses/w32ahkerf.html Du solltest den PC schnellstmöglich vom Netz nehmen. |
THX für eure Hilfe! Dann bleibt mir wohl nichts anderes übrig als den PC platt zu machen... *heulz* Na wurschd, tut dem auch mal ganz gut! LG ;) |
Edit~~Wenn ich nix g´scheites dazu zu sagen hab´, sollte ich lieber nix dazu sagen~~daher mein Beitrag wieder gelöscht! |
Hallo, DAP.EXE = http://castlecops.com/s837-DAP_exe.html (harmlos). In der Sophos-Beschreibung steht : Der Trojaner versucht u.a. diese Datei zu beenden! dartus |
@ stupormundi: bitte *lol*??? ;) ... könnte die dap.exe nicht auch von meinem download manager "download accelerator pro" (DAP) stammen??? glaube, die anwendung geistert auch irgendwo im hintergrund rum... |
Ich denke, Dartus hat recht, was die dap.exe betrifft. Wenn Du bzgl dap.exe sichergehen willst, dann lasse sie hier prüfen: http://virusscan.jotti.org/de/ @Dartus :daumenhoc |
@sandra Zitat:
Ansonsten wegen Zitat:
Bis denn, stupormundi |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:14 Uhr. |
Copyright ©2000-2025, Trojaner-Board