|
WIN32: Qqpass - DY [Trj] Hallo Leute, bin neu hier, aber würde eure Hilfe zu wissen schätzen. Habe einen Trojaner, siehe Topic! Hier das Logfile: Logfile of HijackThis v1.99.1 Scan saved at 18:02:47, on 26.10.2006 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Programme\Java\jre1.5.0_08\bin\jusched.exe C:\Bin\INSTAN~1.EXE C:\Programme\iTunes\iTunesHelper.exe C:\WINDOWS\system32\ctfmon.exe C:\Kopierer\SlySoft\AnyDVD\AnyDVD.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\Tools\totalcmd\TOTALCMD.EXE C:\Programme\iPod\bin\iPodService.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\wuauclt.exe C:\DOKUME~1\Kerstin\LOKALE~1\Temp\_tc\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 10.0.0.2:80 O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Schreiben\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: metaspinner media GmbH - {12FC9A49-CFE0-49AA-BE9E-8F4EEAFC9443} - C:\PROGRA~1\klickTel\EBAYST~1\IEBUTT~2.DLL O2 - BHO: metaspinner media GmbH - {74A0AC27-3753-4080-B94E-557CC43E9E8B} - C:\PROGRA~1\klickTel\KLICKT~3\IEBUTT~2.DLL O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O2 - BHO: (no name) - {FFFFFFA2-C40D-475D-8C91-9A9876ACFCDD} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: &klickTel Toolbar - {FFFF8BAD-BB43-4A08-8258-BFB40A29FBD7} - C:\PROGRA~1\klickTel\KLICKT~2\KTTOOL~1.DLL O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Programme\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_08\bin\jusched.exe" O4 - HKLM\..\Run: [InstantAccess] c:\Bin\INSTAN~1.EXE /h O4 - HKLM\..\Run: [RegisterDropHandler] c:\Bin\REGIST~1.EXE O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\RunServices: [RegisterDropHandler] c:\Bin\REGIST~1.EXE O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [PDK] C:\Programme\PDK\Kalender.exe /Autostart O4 - HKCU\..\Run: [AnyDVD] C:\Kopierer\SlySoft\AnyDVD\AnyDVD.exe O4 - Startup: FriFax32.exe O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Schreiben\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\SCHREI~1\MICROS~1\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_08\bin\ssv.dll O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{CA254ACE-C8C5-457A-AB09-8BA6DD260023}: NameServer = 192.168.120.252,192.168.120.253 O18 - Protocol: haufereader - {39198710-62F7-42CD-9458-069843FA5D32} - C:\Programme\Haufe\HaufeReader\HRInstmon.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe |
[gebetsmühle]Welches Programm meldet den Trojaner? Wo wurde der Trojaner gefunden?[/gebetsmühle] :mad: Gruß :daumenhoc Yopie |
Zitat:
|
Gebetsmühle weiterdreh... Was sagt Google dazu ? vielleicht das ? http://www.google.de/search?hl=de&q=...le-Suche&meta= Dem Pfad nachgehen und bei www.virustotal die Datei prüfen lassen.Vorher die Einstellung zum "Alle Dateien anzeigen lassen" überprüfen. "Panda Online Scanner" verwenden und Ergebniss posten. Die so " eingefassten Worte können als Suchbegriff in Google verwendet werden...:rolleyes: Irrlicht |
Ich habe den auch drauf. http://www.novastream.de/misc/notepad_trj Ich habe keine ahnung wie der sich installiert. Ich benutze den Editor eigendlich ziemlich oft. Die letzten Tage hatte ich ihn nicht benutzt da ich mein System vor 3 tagen frisch installiert habe. Ein Kumpel rief mich an und sagte mir das er den trj hat und dann ging ich halt auch in den ordner und bekam dann auch die warnung. Ich kann den Editor auch nicht mehr benutzen, sprich auch keine logfile von HiJackThis erstellen. Ich habe versucht die notepad via windows-cd wieder herzustellen aber das hat irgendwie nicht hingehauen. Ich hab mir auch schon die von einem Kumpel schicken lassen dessen vollkommen okay ist solange ich sie nicht auspacke, weil dann springt Avast wieder an (Mein Kumpel hat auch avast und da springt nix an) Hab den Panda-Online-Scan gemacht und der findet den nicht. Unter Google ist die suche aussichtslos. Hab nur 3 englische seiten gefunden die was zu dem trj haben, aber das ist nicht wirklich hilfreich. Der rest ist entweder auf chinesisch oder irgend ner anderen sprache die ich nicht lesen kann. Ich bin mit meiner weisheit am ende. Bin am überlegen ob ich mein PC wieder neu mache, weil ich hatte den vorher ja auch nicht. |
Ich habe meine Original-Notepad.exe mit dem Avast-Onlinescanner gescannt: Zitat:
Siehe auch http://forum.avast.com/index.php?topic=24494.0 Lehre für euch: Traut keinem AV-Scanner! Gruß :daumenhoc Yopie |
hm und wiseo schlägt er dann nicht bei meinen kumpels aus? hab noch 5 andere mit dem gleichen prog und bei denen passiert nix (ja sie haben das neuste update drauf) €dit: War echt ne fehlermeldung. kurios sowas. vps war noch nicht das aktuellste drauf bei mir. Jetzt ist wieder alles tutti. Keine Warnung mehr. Einfach nur nen update allgemein gemacht und dann wars wieder okay. |
natoll, ich depp hab in voller panik (eben weil ich gelesen habe, dass der virus die originale notepad.exe datei nur unbenennt) den vermeindlichen trojaner gelöscht und nun kein notepad mehr -.- wie kann ich die wiederherstellen? :( :heulen: |
Die Datei soll Gerüchten zufolge auf der Windows-CD zu finden sein. Einfach kopieren! Gruß :daumenhoc Yopie |
Ich kann Dir notepad.exe per Mail schicken. Ist zwar die von Windows 2000, sollte aber auch unter XP gehen. ;) Poste Deine Mail-Adresse oder schick mir die über PN, wenn Du die nicht veröffentlichen willst. |
ok danke, wäre nett :) ich veröffentliche sie mal, ist eigentlich eh kein staatsgeheimnis :) |
Zitat:
|
Zitat:
|
achso, ich dachte die email wäre so im profil abgebildet, aber ich habs jetzt dank deiner anleitung doch noch auf der cd gefunden, danke nochmal :) |
Es kann auch nicht schaden, mal unter "WINDOWS/ServicePackFiles/i386" auf der Platte nachzuschauen, falls das Verzeichnis existiert. Zitat:
Gruß :daumenhoc Yopie |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 19:41 Uhr. |
Copyright ©2000-2025, Trojaner-Board