|
benutzerkonten lassen sich nicht öffnen Hallo, ich bin neu hier und kenne mich noch nicht so gut aus. Ich hoffe ich mache alles so, wie Ihr es Euch vorstellt. Seit einiger Zeit können meine 3 Söhne (13-18) und ich uns auf unserem Laptop nicht mehr einloggen. Jeder von uns hat ein eigenes Konto. Ich selber habe seit längerem nicht mehr daran gesessen und somit erst gestern mitbekommen, was hier alles nicht stimmt. Als Administrator komme ich in den abgesicherten Modus und habe ein HJT-Log erstellt. Die fettgedruckten Zeilen wurden bei der autom. Auswertung als „böse“ eingestuft. Logfile of HijackThis v1.99.1 Scan saved at 19:55:46, on 02.06.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE G:\Sicherheitsprogramme\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.medion.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.aldi.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.aldi.com O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINDOWS\system32\hpBDEB.tmp O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing) O4 - HKLM\..\Run: [LaunchAp] C:\Programme\Launch Manager\LaunchAp.exe O4 - HKLM\..\Run: [HotkeyApp] C:\Programme\Launch Manager\HotkeyApp.exe O4 - HKLM\..\Run: [CtrlVol] C:\Programme\Launch Manager\CtrlVol.exe O4 - HKLM\..\Run: [LMgrOSD] C:\Programme\Launch Manager\OSD.exe O4 - HKLM\..\Run: [Wbutton] "C:\Programme\Launch Manager\Wbutton.exe" O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [Realtime Monitor] C:\PROGRA~1\CA\ETRUST~1\realmon.exe -s O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [PCMService] "C:\Programme\Home Cinema\PowerCinema\PCMService.exe" O4 - HKLM\..\Run: [PowerDVD] C:\Programme\Home Cinema\PowerDVD\PowerDVD.exe /autostart O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [ccApp] "C:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NAV CfgWiz] C:\Programme\Gemeinsame Dateien\Symantec Shared\CfgWiz.exe /GUID NAV /CMDLINE "REBOOT" O4 - HKLM\..\RunServices: [DJSNetCN] C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O4 - HKCU\..\Run: [AOLMIcon] C:\Programme\Gemeinsame Dateien\AOLSHARE\AOLMIcon.exe O9 - Extra button: (no name) - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra button: MedionShop - {09E5F659-139F-4022-9097-02E25F93F02A} - h**p://w**.medionshop.de/ (file missing) (HKCU) O14 - IERESET.INF: START_PAGE_URL=http://www.aldi.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1092733492931 O16 - DPF: {C4925E65-7A1E-11D2-8BB4-00A0C9CC72C3} (Virtools WebPlayer Class) - h**p://a532.g.akamai.net/f/532/6712/4h/player.virtools.com/downloads/player/Install3.0/Installer.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\PROGRA~1\GEMEIN~1\aol\ACS\AOLacsd.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: CA-Lizenz-Client (CA_LIC_CLNT) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmt.exe O23 - Service: CA-Lizenzserver (CA_LIC_SRVR) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\lic98rmtd.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: Symantec Licensing Detect Internet Connection (DJSNETCN) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\DJSNETCN.exe O23 - Service: eTrust Antivirus RPC Server (InoRPC) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRpc.exe O23 - Service: eTrust Antivirus Realtime Server (InoRT) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoRT.exe O23 - Service: eTrust Antivirus Job Server (InoTask) - Computer Associates International, Inc. - C:\Programme\CA\eTrust Antivirus\InoTask.exe O23 - Service: Ereignisprotokoll-Überwachung (LogWatch) - Computer Associates - C:\Programme\CA\SharedComponents\CA_LIC\LogWatNT.exe O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: X10 Device Network Service (x10nets) - X10 - C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe Die Links unter 09 und 016 kann ich nicht deaktivieren! Dann habe ich Ewido durchlaufen lassen und der gab folgende Meldung: C:\RockXP3.exe/xpkey.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Gesäubert mit Backup C:\RockXP3.exe/keyms.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Gesäubert mit Backup C:\RockXP3.exe/RAS.exe -> Not-A-Virus.PSWTool.Win32.RAS.a : Gesäubert mit Backup (Ich kenne dieses Programm überhaupt nicht. Beim googeln habe ich gesehen, dass das ein PW-Knacker ist. Wofür brauchen wir das auf unserem Rechner?? Und vor allem: Wie kommt das auf den Rechner?) Danach AntiVir mit folgendem Ergebnis: Fehler beim Wechsel in das Verzeichnis Daniel C:\Dokumente und Einstellungen\**\Anwendungsdaten\Sun\Java\Deployment\cache\javapi\v1.0\jar jar.jar-10b9dd1d-43f3692a.zip [FUND!] Enthält Signatur des Java-Virus JAVA/Femad.2 WURDE GELÖSCHT! jar.jar-2d07aaa2-3758f9ee.zip [FUND!] Enthält Signatur des Java-Virus JAVA/Femad.2 WURDE GELÖSCHT! jar.jar-787af560-6e7d7e8c.zip [FUND!] Enthält Signatur des Java-Virus JAVA/Femad.2 WURDE GELÖSCHT! C:\WINDOWS\system32 ldBDAF.tmp [FUND!] Ist das Trojanische Pferd TR/Dldr.Zlob.go.2 WURDE GELÖSCHT! (Ich habe hier nur die mir suspekten Dateien aufgelistet) Ich bin ja der Meinung, es sollte alles neuaufgesetzt werden, aber einer meiner Söhne ist strikt dagegen. Es seien ganz, ganz wichtige Programme und Daten dabei, die er dringend für die Schule! braucht. Gibt es denn hierbei noch Hoffnung? Furiuos angel Edit: aktive Links gelöscht Shadow |
Hallo furios angel, lass diese Datei vei Virustotal auswerten, poste danach das Ergebnis: C:\WINDOWS\system32\hpBDEB.tmp Gruß Daniel |
Hallo Daniel, ich kann die Datei nicht online prüfen lassen. Mit dem Laptop kann ich nicht mehr einloggen und somit auch nicht ins Netz. Ich habe die Dateien mit einem Stick auf einen zweiten Rechner übertragen mit dem ich hier ins netz gehe. Was kann ich denn jetzt machen? Gruss f.a. |
Zitat:
|
Zitat:
hier das Ergebnis: Complete scanning result of "hpBDEB.tmp", received in VirusTotal at 06.03.2006, 13:58:58 (CET). Antivirus Version Update Result AntiVir 6.34.1.37 06.03.2006 TR/Zlob.AF Authentium 4.93.8 06.02.2006 no virus found Avast 4.7.844.0 06.02.2006 Win32:Zlob-BN AVG 386 06.02.2006 no virus found BitDefender 7.2 06.03.2006 no virus found CAT-QuickHeal 8.00 06.03.2006 no virus found ClamAV devel-20060426 06.03.2006 no virus found DrWeb 4.33 06.03.2006 Trojan.Popuper eTrust-InoculateIT 23.72.26 06.03.2006 no virus found eTrust-Vet 12.6.2240 06.02.2006 Win32/Puper!generic Ewido 3.5 06.03.2006 Downloader.Zlob.lb Fortinet 2.77.0.0 06.03.2006 W32/Puper.MP!tr.dldr F-Prot 3.16f 06.02.2006 no virus found Ikarus 0.2.65.0 06.02.2006 no virus found Kaspersky 4.0.2.24 06.03.2006 Trojan-Downloader.Win32.Zlob.mp McAfee 4776 06.02.2006 Puper.dll Microsoft 1.1441 06.03.2006 no virus found NOD32v2 1.1576 06.02.2006 a variant of Win32/TrojanDownloader.Zlob.KQ Norman 5.90.17 06.02.2006 W32/Zlob.GVX Panda 9.0.0.4 06.03.2006 Adware/SecurityError Sophos 4.05.0 06.02.2006 no virus found Symantec 8.0 06.03.2006 Trojan.Zlob TheHacker 5.9.8.154 06.01.2006 no virus found UNA 1.83 06.02.2006 TrojanDownloader.Win32.Zlob VBA32 3.11.0 06.02.2006 no virus found Aditional Information File size: 43520 bytes MD5: 31bb70152511e63fd35b9425d6627509 SHA1: d3ecc219f64302fa2cf355e16746f0de168c50fe |
Der beste und schnellste Weg dein System wieder sauber zu bekommen wäre eine Neuinstallation... Du hast den hier im System --> Trojan.Zlob Ein einfaches löschen würde mit großer Wahrscheinlichkeit nicht viel bringen, da eventuell einiges mehr in deinem System verändert wurde. Lies dir mal den Link in meiner Signatur (Neuaufsetzen des Systems) durch, was BackdoorTrojaner so alles können! Gruß Daniel |
ui, das hört / liest sich ja gar nicht gut! Dann werde ich mich mal dem Kampf mit meinem Sohn stellen. Vielen Dank an Dich und Deinen der Tastatur verbundenen Hände :daumenhoc Gruss, Furious Angel |
Hallo, Gestern erhielt ich von Euch den Rat, den befallenen Laptop zu formatieren. Das löst hier im Haushalt aber heftigste Reaktionen aus. Gibt es eventuell doch noch eine Möglichkeit den Trojaner zu entfernen ohne neu formatieren zu müssen, sodaß die Programme und Dateien weiter genutzt werden können? Danke fürs nochmalige Prüfen Furious Angel |
Zitat:
Trojanische Pferde arbeiten nach verschiedenen Mustern. Sie starten erst, wenn ein bestimmter Vorgang (Start eines anderen Programmes) auf dem System stattfindet.Die meißten Trojaner sind darauf aus, Benutzerdaten eines Online-Dienstes auszuspähen, nicht selten nur von einem bestimmten Provider. Trojaner, die ständig im Hintergrund im betroffenden System mitlaufen, zeichnen mitunter sämtliche Tastaturfolgen auf. - Dieses bedeutet, alle Daten, die der Anwender über die Tastatur eingibt. - Hier nutzt es leider gar nichts, wenn der Anwender sein Passwort für einen Online-Dienst nicht abspeichert, sondern erst bei der Anmeldung eingibt. Die gesammelten Daten werden nach der Einwahl unbemerkt an den Autor des Trojanischen Pferdes geschickt. Für den Hacker hat es den Vorteil, er gelangt nur an die für ihn relevanten Daten und muss diese somit nicht aus einem riesigen "Datenberg" rausfiltern. Diese Arbeitsweise von Trojaner ist als sehr gefährlich einzustufen, da diese die Eigenschaften besitzen können, an sämtliche Daten eines Anwenders zu gelangen. Nochmal zusammengefasst: *Ausspähen von sensiblen Daten (Passwörter, Kreditkartennummern, Kontonummern und Ähnliches) *Fernsteuerung von Unbekannten, u. a. für kriminelle Zwecke, z. B. zum Versenden von Werbe-E-Mails oder Durchführung von DDoS-Attacken. *Installation von illegalen Dialer-Programmen (heimliche Einwahl auf Telefon-Mehrwertrufnummern), was dem Opfer finanziellen Schaden zufügt. *Benutzung der Speicherressourcen zur Ablage von illegalen Dateien, um sie von hier aus anderen Nutzern aus dem Internet zur Verfügung zu stellen. *Überwachung des Datenverkehrs oder aller Benutzeraktivitäten mithilfe von Sniffern. Ich denke das reicht zu diesem Thema! Wer das alles missbilligend in Kauf nimmt, brauch sich nicht wundern wenn eines Tages Polizei oder Staatsanwaltschaft vor der Tür steht! Gruß Daniel |
Ersetze Trojanische Pferde / Trojaner durch Backdoorprogramm ;) Nicht das Trojanische Pferd ist die tatsächliche Gefahr sondern der Inhalt und der öffnet in diesem Fall ein Hintertürchen, klingt nett. Ist es aber definitiv nicht. Dieser(!) Trojaner ist ein Backdoor-Trojaner, das Backdoor im Namen ist die Gefahr, der Trojaner ist nur die Täuschung (die Art der Verbreitung durch Täuschung und Tarnung). Das Problem ist eben, dass man bei einem Backdoorprogramm nie sicher sein kann, was noch alles verändert wurde. Selbst ein (theoretisch) restlos entferntes Backdoorprogramm garantiert in keinster Weise, dass nicht schon irgendwelche (plural! viele!) andere böse Programme installiert wurden oder dass nicht irgendwelche anderen Programme ausgeführt werden oder Einstellungen vorgenommen wurden, die - da normalerweise legal - von keinem Antimalwareprogramm der Welt als böse eingestuft werden. Auch mit legalen Programmen lässt sich böses anstellen. Jeder kleine legale FTP- oder Webserver, jedes Mailprogramm lässt sich missbrauchen, etc. Von den u.U. installierten "illegalen" Programmen ganz zu schweigen... |
Hallo, ich will ja nicht meckern, aber genau diesen Trojaner beseitigen wir hier schon seit knapp einem Jahr siehe hier und das allein nach klicks zur Anleitung zu beurteilen 100.000fach. Ich halte die Beschreibung von Norton erstens für etwas zu dramatisch und zweitens für ziemlich veraltet. Das sicherste ist unbestritten ein neu aufsetzen, aber auch eine Reinigung halte ich für verantwortbar (ist natürlich im Endeffekt das Risiko des TE). Grüße Wildone |
Für Eure Ausführungen danke ich Euch. Wir haben heute Morgen in einigermaßen friedlicher Atmosphäre ;) den PC neu formatiert und werden hoffentlich zukünftig kein solches Theater mit PC-Problemen mehr haben. Allen noch einen schönen Pfingst-Montag! Furious-Angel |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 11:20 Uhr. |
Copyright ©2000-2025, Trojaner-Board