|
Virus oder Trojaner?!?! Hallo zusammen, ein Freund hat ein kleines Problem. Er hat mal ne Datei runtergeladen und nun kackt der Rechner ab. Das sieht dann wie folgt aus.
|
Hallo jensdoo79 und :hallo: Man kann aus deinem HijackThis Log herauslesen, das deine Computer (bzw. die Internetverbindung) über die Ukraine weitergeleitet wird. Code: Mechnikova 58/5 65029 Odessa (= Ukraine)Du kannst höchstens versuchen, die Einträge zu fixen: Code: O17 - HKLM\System\CCS\Services\Tcpip\..\{4CAF30D0-9E01-4D1D-A2E3-83D0512332C5}: NameServer = 85.255.114.198;85.255.112.176Einfacherer und sicherer währe: --> PC neu aufsetzen! LG Crusader |
Hi, danke für die Antwort. Also ich hab das mal mit HiJackthis zum fixen versucht. Eins lässt sich auch löschen aber die anderen drei bleiben immer da. Und wenn ich dann den Mal... drüberlaufen lasse hat er mindesten 10 Treffer? Sollte ich neuinstallieren? Kann ich Dateien runterkopieren auf eine externe Festplatte oder kopiere ich da den Trojaner auch mit? |
Hallo jensdoo79, Also die Eintäge lassen sich nicht fixen, das habe ich mir fast gedacht! 1.) Poste bitte das Ergebnis von Malwarebytes' Antimalware!! 2.) Lade dir CCleaner herunter und säubere bitte dein System! LG Crusader |
Hi, so, ich hab nun mal den Malwarebytes' Antimalware laufen lassen, hier das Ergebnis unter Punkt 1. Unter Punkt 2 habe ich ein neues HiJackthis log! Wir haben auch den CCleaner mehrmals laufen lassen. Bei der Registry findet er keine Fehler mehr aber beim Cleaner lassen sich einfach nicht alle Einträge löschen. Punkt1 Malwarebytes' Anti-Malware 1.30 Datenbank Version: 1306 Windows 5.1.2600 Service Pack 3 30.12.2008 12:50:00 für jens mbam-log-2008-12-30 (12-49-42).txt Scan-Methode: Vollständiger Scan (A:\|C:\|D:\|E:\|F:\|G:\|H:\|L:\|) Durchsuchte Objekte: 101438 Laufzeit: 14 minute(s), 22 second(s) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 12 Infizierte Verzeichnisse: 0 Infizierte Dateien: 0 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{4caf30d0-9e01-4d1d-a2e3-83d0512332c5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6e666965-212f-46cf-a1f7-4295ac098685}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{6e666965-212f-46cf-a1f7-4295ac098685}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{4caf30d0-9e01-4d1d-a2e3-83d0512332c5}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6e666965-212f-46cf-a1f7-4295ac098685}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{6e666965-212f-46cf-a1f7-4295ac098685}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{6e666965-212f-46cf-a1f7-4295ac098685}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\Tcpip\Parameters\Interfaces\{6e666965-212f-46cf-a1f7-4295ac098685}\NameServer (Trojan.DNSChanger) -> Data: 85.255.114.198;85.255.112.176 -> No action taken. Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: (Keine bösartigen Objekte gefunden) Punkt2 Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:56:14, on 30.12.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe F:\Installationen\Avira Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe F:\Installationen\Avira Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\system32\svchost.exe F:\Installationen\Java\bin\jqs.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\PnkBstrA.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe C:\WINDOWS\RTHDCPL.EXE C:\WINDOWS\SOUNDMAN.EXE F:\Installationen\Java\bin\jusched.exe F:\Installationen\Avira Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\ICQ6.5\ICQ.exe F:\Installationen\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe F:\LG PC Suite\LGSyncManager.exe F:\Installationen\Speedboard\Wifiusb.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\System32\alg.exe C:\Programme\Internet Explorer\iexplore.exe F:\Installationen\CCLEANER\CCleaner.exe F:\Installationen\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/ O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programme\HP\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programme\HP\Smart Web Printing\hpswp_framework.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - F:\INSTAL~1\SPYBOT~1\SPYBOT~1\SDHelper.dll O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - F:\Installationen\Java\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - F:\Installationen\Java\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - F:\Installationen\Java\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [NVRTCLK] C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] "F:\Installationen\Java\bin\jusched.exe" O4 - HKLM\..\Run: [avgnt] "F:\Installationen\Avira Antivir\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "F:\Programme\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6.5\ICQ.exe" silent O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Installationen\Spybot - Search & Destroy\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: LG SyncManager.lnk = F:\LG PC Suite\LGSyncManager.exe O4 - Global Startup: Speedport W 100 Stick WLAN Manager.lnk = F:\Installationen\Speedboard\Wifiusb.exe O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://F:\INSTAL~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Similar Pages - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://C:\Programme\Google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: HP Sammelmappe - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Intelligente Auswahl - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programme\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - F:\INSTAL~1\OFFICE~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\INSTAL~1\SPYBOT~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\INSTAL~1\SPYBOT~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{4CAF30D0-9E01-4D1D-A2E3-83D0512332C5}: NameServer = 85.255.114.198;85.255.112.176 O17 - HKLM\System\CCS\Services\Tcpip\..\{6E666965-212F-46CF-A1F7-4295AC098685}: NameServer = 85.255.114.198;85.255.112.176 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.198;85.255.112.176 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.198;85.255.112.176 O20 - AppInit_DLLs: C:\WINDOWS\System32\clbcatq32.dll O20 - Winlogon Notify: 2c6f9801509 - C:\WINDOWS\System32\clbcatq32.dll O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - F:\Installationen\Avira Antivir\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - F:\Installationen\Avira Antivir\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - F:\Installationen\Java\bin\jqs.exe O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software GmbH - C:\WINDOWS\System32\TuneUpDefragService.exe -- End of file - 8010 bytes |
Hallo jensdoo79, 1.) Bei Malwarebytes' Anti-Malware: Noch einmal scannen lassen, aber dieses mal: Sobald der Scan beendet ist, klickst du auf "Ausgewähltes entfernen" und postest das Ergebnis dann hier! 2.) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)..... Der ist veraltet, bitte die aktuelle Version installieren (siehe meine Signatur)! LG Crusader |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 16:08 Uhr. |
Copyright ©2000-2024, Trojaner-Board