Arbeitsplatz und andere Sachen funzen nicht mehr
 

Hallöchen,

Ich habe seit gestern ein paar probleme und angst, das etwas auf meinem rechner ist und mich ausspioniert.
durch einen dummen fehler habe gestern eine exe - datei ausgeführt und meine, das seit dem ein paar dinge auf meinem rechner anders sind. nun aber der reihenfolge:
als erstes habe ich ein windows update zur schliessung einer lücke installiert ( ich glaube durch die lücke konnte der sogenannte conficker )
anschliessend bin ich auf eine exe datei hereingefallen ( den zusammenhang möchte ich nicht nennen, habe sie aber noch ) und habe sie installiert und anschliessend wieder deinstalliert.

seit dem aktiviert sich alle paar sekunden mein diskettenlaufwerk ( wie beim booten die abfrage), ich kann im arbeitsplatz kein laufwerk mehr durch doppelklick öffnen ( nur via explorer ) , der internetexplorer rührt sich ebenso nicht mehr und die systemwiederherstellung mag mich auch nicht mehr, sprich , ich kann einen punkt anklicken, aber wenn ich auf "weiter" klicke, passiert nix!

ich bin mit meinem latein am ende, ich hoffe hier auf hilfe ohne das mir gleich unter die nase gerieben wird " wie konntest du nur die exe starten". ich weiß, das war ein dummer fehler und bereue es furchtbar. ich habe sie noch, falls man sie braucht zur hilfestellung ich kann sie per mail verschicken - gepackt natürlich. danke im vorraus schon einmal!!

hier mal mein logfile:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 19:59:27, on 02.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16705)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\Explorer.EXE
C:\WINXP\system32\LEXBCES.EXE
C:\WINXP\system32\LEXPPS.EXE
C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe
C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
C:\WINXP\system32\CTHELPER.EXE
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
C:\WINXP\system32\CTsvcCDA.exe
C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
C:\WINXP\system32\RUNDLL32.EXE
C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe
C:\WINXP\system32\rundll32.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\Programme\Logitech\MouseWare\system\em_exec.exe
D:\Programme\Adobe\Acrobat\Acrotray.exe
C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Lexmark 3100 Series\lxbrbmon.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\WINXP\system32\taskmgr.exe
C:\WINXP\system32\nvsvc32.exe
c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\MsPMSPSv.exe
C:\WINXP\system32\SearchIndexer.exe
C:\WINXP\system32\spoolsv.exe
C:\Programme\Opera\opera.exe
C:\WINXP\system32\SearchProtocolHost.exe
C:\Dokumente und Einstellungen\user\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: flashget2 urlcatch - {1F364306-AA45-47B5-9F9D-39A8B94E7EF1} - D:\Programme\FlashGet universal\ComDlls\bhoCATCH.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - D:\Programme\flashget_alt_deutsch\jccatch.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre6\bin\ssv.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - D:\Programme\flashget_alt_deutsch\getflash.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [CTSysVol] C:\Programme\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [CTDVDDET] C:\Programme\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [SBDrvDet] C:\Programme\Creative\SB Drive Det\SBDrvDet.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINXP\UpdReg.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [egui] "C:\Programme\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [Hard Disk Sentinel] "D:\Programme\Hard Disk Sentinel\HDSentinel.exe" /AUTORUN
O4 - HKLM\..\Run: [Adobe Acrobat Speed Launcher] "D:\Programme\Adobe\Acrobat\Acrobat_sl.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 8.0] "D:\Programme\Adobe\Acrobat\Acrotray.exe"
O4 - HKLM\..\Run: [Lexmark 3100 Series] "C:\Programme\Lexmark 3100 Series\lxbrbmgr.exe"
O4 - HKLM\..\Run: [LXBRKsk] C:\PROGRA~1\LEXMAR~1\LXBRKsk.exe
O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programme\Acronis\TrueImageHome\TrueImageMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programme\Acronis\TrueImageHome\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Nero\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - S-1-5-18 Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'SYSTEM')
O4 - .DEFAULT Startup: DSL-Manager.lnk = C:\Programme\T-Online\DSL-Manager\DslMgr.exe (User 'Default user')
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: raid_tool.exe.lnk = C:\Programme\VIA\RAID\raid_tool.exe
O4 - Global Startup: Windows Search.lnk = C:\Programme\Windows Desktop Search\WindowsSearch.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - D:\Programme\flashget_alt_deutsch\jc_all.htm
O8 - Extra context menu item: &Download by FlashGet - D:\Programme\FlashGet universal\ComDlls\Bholink.htm
O8 - Extra context menu item: &Mit FlashGet laden - D:\Programme\flashget_alt_deutsch\jc_link.htm
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\flashget_alt_deutsch\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - D:\Programme\flashget_alt_deutsch\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{147A481E-8EA3-48D3-885D-CBA99AA14E18}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\..\{1CDC7688-C377-4F26-80B0-9AD70C181611}: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.39,85.255.112.40
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINXP\system32\CTsvcCDA.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Programme\ESET\ESET NOD32 Antivirus\ekrn.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: getPlus(R) Helper - NOS Microsystems Ltd. - C:\Programme\NOS\bin\getPlus_HelperSvc.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINXP\system32\LEXBCES.EXE
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINXP\system32\nvsvc32.exe
O23 - Service: Protexis Licensing V2 (PSI_SVC_2) - Protexis Inc. - c:\Programme\Gemeinsame Dateien\Protexis\License Service\PsiService_2.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: DSL-Manager (TDslMgrService) - T-Systems Enterprise Services GmbH - C:\Programme\T-Online\DSL-Manager\DslMgrSvc.exe

--
End of file - 12198 bytes


gruß, lupo10

Hallo und :hallo:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:
Sollte die Meldung kommen, dass die Dateien bereits analysiert wurden, dann klicke trotzdem auf Analysieren.

Sollte virustotal nicht funktionieren (du hast eine Umleitung in die Ukraine drin) dann versuche Online Malware scan oder spiele die Datei von einem anderen Rechner hoch.

Falls du die besagte Datei irgendwo runtergeladen hast, dann poste mir per PN den Link.

ciao, andreas

Also erstmal wilkommen im Forum (ja bin auch neu hatte früher schon nen acc aber denn musste ich löschen)
Ok back2topic
Woher genau weist du das dich etwas auspioniert ?
Sicher das es nur ein Programm ist ?
Könnte gut aktiv sein , will meinen ein Hacker
Weil (vieleicht irre ich mich auch) aus dem hijackthis log konnte ich nichts herauslesen.

Nur mal eine Zwischenfrage:

Was ist das denn für eine Installation :(?? Bist Du im Besitz einer legalen Windows- Lizens??

Gruß

Jaipur

so, hab mal das gemacht was john.doe mir geraten hat und das ist dabei herausgekommen, ich kann damit nämlich nix anfangen:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.0.0.93 2009.02.02 Win32.SuspectCrc!IK
AhnLab-V3 5.0.0.2 2009.02.02 -
AntiVir 7.9.0.71 2009.02.02 TR/Agent.8704.84
Authentium 5.1.0.4 2009.02.02 W32/Downloader-Sml-based!Maximus
Avast 4.8.1281.0 2009.02.02 Win32:Trojan-gen {Other}
AVG 8.0.0.229 2009.02.02 -
BitDefender 7.2 2009.02.02 Generic.Malware.Yddld!.23BA0522
CAT-QuickHeal 10.00 2009.02.02 -
ClamAV 0.94.1 2009.02.02 -
Comodo 959 2009.02.02 -
DrWeb 4.44.0.09170 2009.02.02 -
eSafe 7.0.17.0 2009.02.01 Win32.NewMalware.ai
eTrust-Vet 31.6.6337 2009.02.02 -
F-Prot 4.4.4.56 2009.02.02 W32/Downloader-Sml-based!Maximus
F-Secure 8.0.14470.0 2009.02.02 Trojan-Downloader.Win32.Agent.bgbh
Fortinet 3.117.0.0 2009.02.02 -
GData 19 2009.02.02 Generic.Malware.Yddld!.23BA0522
Ikarus T3.1.1.45.0 2009.02.02 Win32.SuspectCrc
K7AntiVirus 7.10.615 2009.02.02 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2009.02.02 Trojan-Downloader.Win32.Agent.bgbh
McAfee 5514 2009.02.02 New Malware.ai
McAfee+Artemis 5514 2009.02.02 New Malware.ai
Microsoft 1.4306 2009.02.02 -
NOD32 3819 2009.02.02 -
Norman 6.00.02 2009.02.02 -
nProtect 2009.1.8.0 2009.02.02 Generic.Malware.Yddld!.23BA0522
Panda 9.5.1.2 2009.02.02 -
PCTools 4.4.2.0 2009.02.02 -
Prevx1 V2 2009.02.02 -
Rising 21.14.61.00 2009.02.01 -
SecureWeb-Gateway 6.7.6 2009.02.02 Trojan.Agent.8704.84
Sophos 4.38.0 2009.02.02 Mal/Behav-116
Sunbelt 3.2.1835.2 2009.01.16 Trojan-Downloader.Win32.Tiny!cobra (v)
Symantec 10 2009.02.02 -
TheHacker 6.3.1.5.243 2009.02.02 -
TrendMicro 8.700.0.1004 2009.02.02 Possible_DLDER
VBA32 3.12.8.12 2009.02.01 -
ViRobot 2009.2.2.1585 2009.02.02 -
VirusBuster 4.5.11.0 2009.02.02 -
weitere Informationen
File size: 8704 bytes
MD5...: 4802ec121a54413f7ad594f471cda6ae
SHA1..: 2e6aa7712e04e9e084f52d83e7cf1b03a6dd73a0
SHA256: 72bb608a91311e657b8152e46e592fef1195164b05663af844aad65609ee4fd0
SHA512: 4c4db1431bc556c2d3fa7ec4cc0ccfb351faedac72ee64f01555fb8a8bc7a3f6
62928b48d799582c2d63174da10a578549bebdda232b1102a57bc7cd42c41311
ssdeep: 96:yVWEDvyDrrrDRSGVcbQrcLdcdHauDBWb8oTegNwNAkp4h+dMTcWdJ6K1kGGgV
thE:PEDKHr6bSib5TegmykJdMTcWdJ6okGLE
PEiD..: -
TrID..: File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x1937
timedatestamp.....: 0x49823189 (Thu Jan 29 22:45:29 2009)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0xe54 0x1000 5.80 a8b9b36f28f94373c4506ffede726c3d
.rdata 0x2000 0x9d8 0xa00 5.13 0411deb53175a85431f27570938cd807
.data 0x3000 0x3a0 0x200 0.78 b30caba6f00b0d8ab619cea6d6fe31bb
.rsrc 0x4000 0x1ac 0x200 5.29 dd84834b5ed4b2d3b16360c7f1de67a6

( 6 imports )
> KERNEL32.dll: lstrcpyA, lstrcatA, lstrlenA, WinExec, Sleep, CloseHandle, WriteFile, CreateFileA, GetTempPathA, GlobalAlloc, GetModuleFileNameA, GetEnvironmentVariableA, GetShortPathNameA, GetTickCount, GetSystemDirectoryA, GetOEMCP, GetCurrentProcessId, GetCurrentThreadId, QueryPerformanceCounter, IsDebuggerPresent, SetUnhandledExceptionFilter, UnhandledExceptionFilter, GetCurrentProcess, TerminateProcess, GetStartupInfoA, InterlockedCompareExchange, InterlockedExchange, GetSystemTimeAsFileTime
> USER32.dll: wsprintfA
> SHELL32.dll: ShellExecuteA
> WININET.dll: InternetConnectA, HttpSendRequestA, InternetReadFile, InternetOpenA, HttpOpenRequestA, InternetCloseHandle
> urlmon.dll: ObtainUserAgentString
> MSVCR80.dll: _unlock, _amsg_exit, __getmainargs, _cexit, _exit, _XcptFilter, exit, _acmdln, _initterm, _initterm_e, _configthreadlocale, __setusermatherr, _adjust_fdiv, __p__commode, __p__fmode, _encode_pointer, __set_app_type, _crt_debugger_hook, _terminate@@YAXXZ, _ismbblead, __dllonexit, _lock, _onexit, _decode_pointer, _except_handler4_common, _invoke_watson, _controlfp_s

( 0 exports )
ThreatExpert info: <a href='http://www.threatexpert.com/report.aspx?md5=4802ec121a54413f7ad594f471cda6ae' target='_blank'>http://www.threatexpert.com/report.aspx?md5=4802ec121a54413f7ad594f471cda6ae</a>



zum windows kann ich dir auch nix sagen, die version ist von einem kumpel installiert worden, nach dem ich ein festplattencrash hatte. er hat ein klon glaube ich angelegt. leider sind mir solche sachen zu hoch!

Wo hast du die besagte Datei her?

1.) Scanne mit MalwareBytes Antimalware und poste das Log. Halte dich an die Anleitung und klicke zum Schluss auf "Ausgewählte entfernen" (o.ä.)
2.) Neustart.
3.) Scanne nocheinmal mit MalwareBytes, diesmal den Quick-Scan und poste das Log.

ciao, andreas

jetzt bekomme ich noch folgende meldung dazu, wenn ich den doppelklick auf laufwerk c:/ mache:
"recycler\s-9-7-72-10006890-100026827-100015928-2937.com" konnte nicht gefunden werden.stellen sie sicher, das sie den namen korrekt eingeben haben und wiederholen sie den vorgang.klicken sie auf start anschließend auf suchen um eine datei zu suchen.

oh man, ich weiß nicht was das zu bedeuten hat...

Tja, sowas ähnliches habe ich mir schon gedacht:

Und wie gedenkst Du jetzt das System neu aufzusetzen? Dazu würde ich Dir nämlich bei dem Befund und dem Ansteuern eines NamesServers in der Ukraine dringend raten.

Gruß

Jaipur

Das ist nur der Anfang, es wird noch viel schlimmer werden. Trenne immer die Verbingung zum Internet (Stecker ziehen), falls du es nicht brauchst. Stecke keine externen Datenträger an, die werden sonst auch befallen.

ciao, andreas

bis hier her schon einmal dankeschön! der download-link für malwarebytes ist im moment nicht erreichbar. oder wird das nur bei mir verhindert?


gruß lupo!

das ist jetzt ein scherz oder? also system neu aufsetzen??


gruß lupo10

super, ist es unumgänglich das system neu zu machen??

gruß lupo10

Ja.

Aber mit einer sauberen und legalen Windows CD nach dieser http://www.trojaner-board.de/51262-a...sicherung.html.

Gruß

Jaipur

Hier ist kein MbAm drin.
Starte die Datei uiop.exe. Sollte sich mbam.exe nicht starten lassen, dann benenne sie um in asdf.com

Du hast da die Pest, darauf wird es hinauslaufen. Das Problem ist nur, du musst vorher sauber sein, ansonsten ist das Neuaufsetzen sinnlos, wie bei ihm hier: http://www.trojaner-board.de/68712-a...-boot-com.html

Und wenn du folgende Frage nicht beantwortest, dann ist das hier mein letztes Post.

Wo hast du die besagte Datei her?

ciao, andreas

ich möchte aber das aufsetzen wohl umgehen wenn es irgendwie geht. ich abe das gerade erst hintermir ( klon ). ich selber bin dazu nicht in der lage und ich habe noch eine festplatte verbaut. also 2 platten eine mit 4 parts und die ander mit 2 parts. muss ich alle partitionen platt machen??

bitte nich...

ich weiss nicht ob ich das hier so posten darf als link. machs mal so:

gelöscht! lupo10

hoffentlich bekomm ich jetzt keinen rüffel.
da macht man einmal einen fehler weil man naiv ist und dann sowas ( die pest meine ich)

also Malwarebytes Anti-Malware läuft gerade noch. nach der installation ist aber die aktualisierung fehlgeschlagen. ich hoffe, das macht nix.

eigentlich habe ich den rechner immer an. also immer online. es wäre wohl besser wenn ich erstmal die kiste vom netz trenne und vorerst nix kaufe oder? ( ebay, Paypal usw.) internetbanking mache ich nicht


gruß lupo10

Doch das macht was. Ein weiteres Indiz, wie verseucht deine Kiste ist.

aber unbedingt.

Klick auf Editieren und entferne den Link. Ich habe mich immer gewundert, wo das Zeug herkommt, jetzt weiß ich es endlich. Aber eigentlich wußte ich es schon vorher.

Hier der dritte Absatz:
http://www.trojaner-board.de/67943-i...tml#post404015

Oder meine Anleitung zum Einfangen von möglichst vielen Schädlingen in möglichst kurzer Zeit wird auch gerne befolgt. Besonders Punkt 6:
http://www.trojaner-board.de/65373-b...tml#post396401

http://www.trojaner-board.de/68736-t...tml#post406700

http://www.trojaner-board.de/69023-h...tml#post408432

http://www.trojaner-board.de/66713-n...tml#post399820

Liste lässt sich fortsetzen. :schmoll:

Hänge alle externen Datenträger, die jemals am Computer angesteckt wurden, vor dem Scan an.

ComboFix

Ein Leitfaden und Tutorium zur Nutzung von ComboFix

• Lade dir das Tool hier herunter auf den Desktop -> KLICK

Das Programm jedoch noch nicht starten sondern zuerst folgendes tun:

• Schliesse alle Anwendungen und Programme, vor allem deine Antiviren-Software und andere Hintergrundwächter, sowie deinen Internetbrowser.
  Vermeide es auch explizit während das Combofix läuft die Maus und Tastatur zu benutzen.

• Dann folgende Anleitung durchlesen und abarbeiten -> CCleaner Systembereinigung

• Starte nun die combofix.exe von deinem Desktop aus, bestätige die Warnmeldungen und lass dein System durchsuchen.

• Im Anschluss öffnet sich automatisch eine combofix.txt, diesen Inhalt bitte abkopieren und in deinen Beitrag einfügen. Das log findest du außerdem unter: C:\ComboFix.txt.

Wichtiger Hinweis:

Combofix darf ausschließlich ausgeführt werden wenn ein Kompetenzler dies ausdrücklich empfohlen hat!
Es sollte nie auf eigene Initiative hin ausgeführt werden! Eine falsche Benutzung kann ernsthafte Computerprobleme nach sich ziehen und eine Bereinigung der Infektion noch erschweren.

Hinweis: Combofix verhindert die Autostart Funktion aller CD / DVD und USB - Laufwerken um so eine Verbeitung einzudämmen. Wenn es hierdurch zu Problemen kommt, diese im Thread posten.

ciao, andreas

Malwarebytes Anti-Malware läuft jetzt seit 23min und hat knapp 80000 datein gescannt, aber noch nix gefunden.

gruß lupo10

da ich morgen früh raus muss, wird es jetzt für mich zeit...
ich trenn den rechner per kabel vom netz und befolge moregen andreas' anweisungen in der hoffnung, das ich den rechner so retten kann ohne neuaufsetzen.

dankeschön bis hierher schon mal und gruß lupo10

Nein. Neuaufsetzen musst du in jedem Fall. ComboFix wird dafür sorgen, das die anstehende Neuinstalltion nicht sinnlos ist.

ciao, andreas

kurz vor der arbeit:
gut, dann werd ich mich wohl darum bemühen müssen, den rechner neu auf zu setzen. hab da aber noch ne frage oder besser zwei:
was passiert, wenn ich's nicht mache nach der bereinigung?

kann ich, nach der bereinigung, noch teile sichern? beispielsweise dateien oder kleine dinge wie lesezeichen oder meine ganzen emails??

gruß lupo10

Hallo,

unter Start -> Programme -> Zubehör -> Systemprogramme gibt es einen Assistenten, mit dem man Benutzerdateien (Eigene Dateien/Mails/Lesezeichen) in eine Datei exportieren, und somit sichern kann. Auf den neu installierten System kann man dann dieses Archiv importieren.

Dann besteht aber immer noch das Problem, dass du dazu eine externe Festplatte brauchst, um die Sicherungsdatei zu erstellen!

Sobald Du die an den Rechner anstöpselst war es das, dann haste den Wurm auch da drauf! Wenn Du dann ein sauberes System aufsetzt, und die Festplatte dann dran hängst, geht das Spiel von neuem los!

So oder so, ohne eine alte Datensicherung hast Du verloren!

Sorry,

Jörg

P.S. Ich hoffe es at jemand eine bessere/andere Idee

so kurz mittagspause.

ich bin mir glaube ich jetzt erst bewusst, was ich da angestellt habe und habe erstmal vom rechner meiner frau, laptop per wlan allle wichtigen passwörter geändert und die kreditkarte sperren lassen.
so weit meine kenntnisse reichen, ist der rechner ( laptop) ja sicher oder?
ich verbinde mich per wlan auf unseren router, der nun nicht mehr per lan kabel mit meinem desktop rechner verbunden ist. bitte sagt mir nicht, der rechner ist auch in gefahr...

gut, dann fehlt mir noch einiges an erklärungen:
was macht der wurm/trojaner auf meinem rechner genau?
was macht er, wenn ich den pc für eine neuaufsetzung reinige?
was macht er, wenn der pc keine verbindung zum netz hat?

da der rechner schon über 4 jahre alt ist, habe ich mir überlegt, ich setze ihn nicht neu auf.
ich wollte ihn so weit reinigen, wie es mir hier empfohlen worden ist. sprich bis zum punkt, wo eigentlich die neuaufstzung beginnen kann. jetzt kommts:
ich setze ihn nicht neu auf und lasse ihn in der ecke stehn.
ich kauf mir einen neuen pc und betreibe den dann per lankabel an meinem router. kann doch nix passieren oder?
jetzt die frage, wozu den alten noch behalten...
ich werde ihn nie wieder online schalten/stecken, ich möchte ihn nur dann anmachen, wenn ich wichtige daten einsehen möchte. sollte ich doch etwas brauchen zum beispiel ein word dokument oder so, dann kann ich es doch auf cd/ dvd brennen und nutzen oder? wenn ja, wie verhindere ich dann, das der noch auf dem alten system wartende trojaner ins neue kommt?
ich hoffe, ich habe mich nicht zu umständlich ausgedrückt und bekomme hier eine antwort die ich verstehen kann.
abschliessend möchte ich mich hier noch einmal ganz herzlich bedanken, das man mir hier in aller deutlichkeit gesagt hat, das das was mir widerfahren ist nicht auf die leichte schulkter zu nehmen ist. Dankeschön, ihr habt wohl eine finazielle krise bei mir verhindert!!

gruß lupo10

was macht der wurm/trojaner auf meinem rechner genau?

Ein Trojaner ist ein Programm das
A): Informationen sammelt und an einen Server weiter leitet => Keylogging, soll heißen, alles was Du in deine Tastatur klimperst, wird 1 zu 1 aufgezeichnet, das geht soweit, das auch der Bildschirminhalt mitgefilmt werden kann!

B): Eine Hintertür für eine anderen 'Administrator' öffnet zum Zwecke der 'Fernadministration', meist wird dann auch noch Ontop neue Software aus dem Internet nachgeladen. Das wird meistens gemacht, um einen Mailserver (für Spammails), oder andere 'nützlichen' Tools zu installieren, die man so braucht. Wenn dein kompletter PC plötzlich inklusive Internetverbindung langsamer wird, passiert im Hintergrund was, was Du nicht siehst ;-)!

Zusammengefasst, ist ein Trojaner ein IT-Vorschlaghammer der Dir deine Betriebssystem Sicherheit zertrümmert! Wenn Du einen Trojaner im System stecken hast, gehört dir dein Rechner nicht mehr!


was macht er, wenn ich den pc für eine neuaufsetzung reinige?
Da einige Programme schon die Fähigkeiten haben Antivirussoftware zu übernehmen, kannst man nach 'erfolgreichen' Virencheck nicht sicher sein, dass das System sauber ist!
Wenn Du dein System 'gereinigt' hast, und dann alte Dateien zurück spielst, kann der ganze Mist auch wieder zurück gespielt werden!

Das beste wäre ein Systemcheck mit einer Boot-CD, am besten Knoppix/Knoppicillin oder sowas. Schau da mal bei Heise nach!

was macht er, wenn der pc keine verbindung zum netz hat?
:singsing: Dann ist er sicher! :singsing:
Weil keine Schadsoftware nachgeladen werden kann, kein Fernzugriff erfolgen kann usw.!


Das mag sich alles sehr negativ anhören, ist aber leider so!

Immer Backup/Antivirus (aktuell)/ Firewall (nur nicht die SystemFW von Windows) / neueste Softwareupdates aufspielen!

UND NIEMALS DEN RECHNER ONLINE ALS ADMIN BENUTZEN! IMMER MIT EINEM USERACCOUNT!

Dann sollte man eigentlich keine Probleme bekommen!

Das Zeug ist die Pest. Es verbreitet sich auf mehreren Wegen. Über Netzwerkfreigaben und externe Datenträger. Solltest du z.B. eine Memorystick an dem infizierten Rechner haben und den am Laptop angesteckt haben, dann war es das.
Sollten beide im gleichen Netzwerk gewesen sein, dann kann es zu spät sein. Er versucht sich auch über Netzwerkfreigaben zu verbreiten. Falls du kein sicheres Passwort benutzt, dann war es das.
Der "Keygen" ist ein typischer Trojaner. Er gab vor ein Keygen zu sein, in Wirklichkeit ist es ein nur 8,5KB großer Trojan.Downloader. Er benutzt Rootkit-Techniken um sich zu installieren. Und dann fängt er an Daten aus dem Internet zu laden und zu starten. Deshalb habe ich das MbAm-Log angefordert, um zu sehen, was er runtergeladen hat.
Dann ist er weg, aber er hat eine Hintertür eingebaut, so dass ein Mensch Zugriff auf deinen Rechner hatte. Was der gemacht hat: Keine Ahnung. Was er gemacht haben kann steht hier: http://www.trojaner-board.de/65029-t...tml#post394394
Dann befällt er weiterhin jeden externen Datenträger, den du ansteckst. Der wiederum befällt dann weitere Rechner. Die wiederum weitere Datenträger infizieren, usw. ohne Ende. Das ist der Grund, warum du unbedingt ComboFix laufen lassen musst, egal ob du Neuaufsetzt oder nicht.
Falls das Laptop nicht infiziert wurde, dann nicht. Falls doch, dann ist auch er dran.
Da hat wohl jemand das Problem noch immer nicht verstanden. Halbwegs sicher sein kannst du, wenn du mit einer Linux Live Cd die Daten sicherst (keine Programme oder ausführbaren Dateien!), wie z.B. mit KNOPPIX Linux Live CD.
Ja, das ist bei dem Teil gar nicht so einfach. Schau doch mal hier, hier hat jemand dreimal Neuaufsetzen müssen, um einen Rechner wieder sauber zu bekommen.
http://www.trojaner-board.de/68712-a...ht=autorun.inf
Also lerne daraus und stelle bei sämtlichen Rechner die Autoplayfunktion ab.
Nein, die Gefahr ist noch nicht vorüber. Entweder du erledigst ihn komplett oder du läufst ständig Gefahr alle deine Rechner zu infizieren.

ciao, andreas

so, ich war eben bei mediam und habe mir einen rechner dort angeschaut und werde ihn wohl gleich noch holen.

noch mal zur verständnis:

bisher hat das laptop noch keine anzeichen gemacht, das irgend etwas nicht stimmen könnte. es war und ist immer noch nie per lankabel mit dem anderen rechner verbunden oder mit dem router, sondern immer nur per wlan.
wie,womit checke ich am besten das laptop damit der neue nicht wieder gleich infiziert wird.
sorry für die dummen fragen, aber ich möchte nicht wieder so'n ding ( Pest) haben!

wie schon im ersten threat von mir beschrieben, habe ich die symptome erst seit samstag/sonntag gemerkt. seit dem habe ich weder einen stick oder ähnliches am verseuchten pc betrieben. ich habe alle externen festplatten immer stromlos, da ich sie nicht so oft brauche. usb ist zwar eingesteckt, doch die netzstecker der externen platten haben keinen strom, da ich deren steckdosen immer stromlos habe und nur bei gebrauch einschalte. aber ich nehme an, es ist wohl trotzdem besser, sie mit zu reinigen wenn ich sie weiterhin gefahrlos nutzen möchte oder? das problem darin besteht nur, ich könnte mir vorstellen das die reinigung der unmengen an daten nicht gerade in 15 min abgeschlossen ist und die dinger gehen nach ein paar minuten nichtstun in den stromsparmodus, so das eine reinigung wahrscheinlich nicht erfolgen würde oder? wie mach ich denn das?

also das ich daten, die ich vom alten rechner auf den neuen übertrage, erst checken muss ist mir klar.
ich will da nicht unmengen an daten übertragen. nur zum beispiel lesezeichen von firefox evtl die email-dateien, fotos und ein paar filmdateien. wie bekomme ich die sauber und kann sie dann gefahrlos übertragen? gar nich? auch nicht die lesezeichen?

ich habe wie schon geschrieben, heute mittag alles wichtige geändert ( von diesem laptop, wo ich noch nicht weiss, ob er sicher ist). eigentlich könnte ich ja mit der verseuchten kiste online gehen oder? wenn ich keine brisanten daten eingebe, kann mir doch nichts passieren oder liege ich da falsch?

wenn ich wenigstens die lesezeichen sauber rüber bekomme, dann wär ich schon um einiges weiter. und die externen festplatten müssen auch sauber sein.

noch was anderes, wie bomme ich mit das mein pc befallen ist, ich meine früh genug, nicht wenn es zu spät ist und ich eine reinigung machen muss.


danke für eure tips und hilfestellung nochmal!

und wie bekomme ich weitere infos vom verseuchten rechner auf diese seite? online gehen oder?

welche reihenfolge ist am besten?

laptop prüfen, wenn ja womit,
alte kiste reinigen wie schon von euch beschrieben und erst dann den neuen aufstellen und nutzen?

was für sicherheitssoftware sollte ich eurer meinung darauf aktivieren und installieren??

danke noch mal!

ichhol jetzt den neuen von mm, bin deshalb kurz weg

gruß lupo10

hab jetzt mal Malwarebytes Anti-Malware übers laptop laufen lassen und das ist die log:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1721
Windows 5.1.2600 Service Pack 2

03.02.2009 20:09:32
mbam-log-2009-02-03 (20-09-32).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|)
Durchsuchte Objekte: 114067
Laufzeit: 21 minute(s), 24 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 0

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
(Keine bösartigen Objekte gefunden)

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
(Keine bösartigen Objekte gefunden)

bisher sieht das gut aus oder? ich lasse es gerade von einem onlinescanner durchforsten ( Panda ).
da ich aber sicher gehen möchte, das es nicht befallen ist, hätte ich noch zeit, andere programme drüber laufen zu lassen.
welche wären das am besten?

gruß lupo10

hier mal das log von Malwarebytes nach dem ersten scan ( desktop-PC):
Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

03.02.2009 20:45:31
mbam-log-2009-02-03 (20-45-31).txt

Scan-Methode: Vollständiger Scan (C:\|D:\|E:\|F:\|K:\|M:\|)
Durchsuchte Objekte: 201253
Laufzeit: 1 hour(s), 16 minute(s), 45 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 1
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 2
Infizierte Verzeichnisse: 0
Infizierte Dateien: 2

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> Quarantined and deleted successfully.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
K:\Incoming verschoben\Music\FunPhotor_v10.17\FunPhotor v10.17\reg\FunPhotor v10.17 Zeallsoft Serial.exe (Spyware.OnlineGames) -> Quarantined and deleted successfully.
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.


dann neustart und quickscann:

Malwarebytes' Anti-Malware 1.33
Datenbank Version: 1654
Windows 5.1.2600 Service Pack 3

03.02.2009 21:23:43
mbam-log-2009-02-03 (21-23-09).txt

Scan-Methode: Quick-Scan
Durchsuchte Objekte: 55572
Laufzeit: 3 minute(s), 12 second(s)

Infizierte Speicherprozesse: 0
Infizierte Speichermodule: 0
Infizierte Registrierungsschlüssel: 0
Infizierte Registrierungswerte: 0
Infizierte Dateiobjekte der Registrierung: 8
Infizierte Verzeichnisse: 0
Infizierte Dateien: 1

Infizierte Speicherprozesse:
(Keine bösartigen Objekte gefunden)

Infizierte Speichermodule:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungsschlüssel:
(Keine bösartigen Objekte gefunden)

Infizierte Registrierungswerte:
(Keine bösartigen Objekte gefunden)

Infizierte Dateiobjekte der Registrierung:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{1cdc7688-c377-4f26-80b0-9ad70c181611}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\DhcpNameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{147a481e-8ea3-48d3-885d-cba99aa14e18}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Tcpip\Parameters\Interfaces\{1cdc7688-c377-4f26-80b0-9ad70c181611}\NameServer (Trojan.DNSChanger) -> Data: 85.255.112.39,85.255.112.40 -> No action taken.

Infizierte Verzeichnisse:
(Keine bösartigen Objekte gefunden)

Infizierte Dateien:
C:\Programme\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> No action taken.


kann man da schon was sagen?

gruß lupo10

hat niemand etwas dazu zu sagen?

gruß lupo10

Hallo Lupo,

was für sicherheitssoftware sollte ich eurer meinung darauf aktivieren und installieren??

1. Eine Firewall (blos nicht die von Windows), am besten Comodo Internet Security oder Online Armor Personal Firewall!
2. Eine Antivirussoftware die immer auf den neuesten Stand ist!
3. Immer die aktuellen Patches von Windows installieren!
4. Wenn Du deinen Rechner benutzt mache das als User, nicht als Administrator!
5. John Doe und andere im Forum haben Dir schon mehr als genug Antworten und Hinweise geliefert, lies diese bitte!
6. Auch wenn Du 'nur' WLAN nutzt, ist dies eine Netzwerkverbindung!

Das war's von mir!

hallo joesi,

was mir bisher geraten wurde, werde ich alles machen, habe ich zum teil ja auch schon.

ich habe schon begriffen, das ich den alten rechner nur noch nutzen kann, wenn er keine verbindung zum netz hat und ich die daten auf ihm belasse und sie nirgendwo anders hin kopiere.
der neue rechner ist quasi ein neuanfang. zuvor wollte ich aber auf nummer sicher gehen und das laptop prüfen, ob es "sauber" ist.
von daher habe ich um durchsicht der log gebeten und was ich noch tun müßte, um da auf nummer sicher zu gehen.

da ich bisher eine sehr umfangreiche sammlung an lesezeichen auf dem infizierten rechner habe und diese gerne nutzen wollte ohne alles mühselig abzutippen, hatte ich noch gefragt, ob ich wenigstens die irgendwie rüber bekomme, ohne den neuen rechner zu infizieren.
eine idee von mir war, sie als text-datei zu speichern ( ich glaube mit firefox geht das so, sie dann als rar zu packen und sie als email zu verschicken. mit dem neuen rechner dann runterladen und sie erstmal vor dem entpacken von virustotal prpfen zu lassen.
ginge das so oder kommen bei dieser art auch wieder schadhafte sachen mit?

alle anderen sachen die mir hier geraten wurden werde ich beherzigen und so anwenden.

danke und gruß lupo10

Hallo Lupo,

das einfachste wäre, wenn du dir einen Account auf Box.net - Online File Storage, Internet File Sharing, Online Storage, Access Documents & Files Anywhere, Backup Data, Send Files"]box.net machst. Das ist eine Internet Festplatte!

Da dann deine wichtigsten Dateien reinpacken, und auf deinen neuen Rechner wieder runter kopieren!

Pass aber auf, daß keine Archive oder Ausführbare Dateien mit da rein kommen!

Und auf keinen Fall die Dateien auf den neuen rechner Importieren, bevor nicht ein Virenscanner darauf installiert ist!

Dieser Vorschlag ist Hochriskant, weil keiner Sagen kann, was Du dir damit ins Haus holst!

Zu deinen Lesezeichen: Lesezeichen -> Lesezeichen Verwalten -> Importieren und Backup -> Backup erstellen. Das Backup dann auf die Internet Festplatte packen.

hi joesi,

super! das hört sich doch mal prima an! ich werde das jetzt alles mal durchwandern! alten PC nach John Doe's ratschlägen behandeln, dann aber als einzelgerät in der ecke stehen lassen un nutze ihn nur, wenn ich etwas einsehen möchte ( emails oder mal foto ausdrucken usw. )

das laptop noch genauestens untersuchen, panda hat elf infektionen gefunden, was es ist muss ich noch sehen. erst wenn ich sicher bin, das das laptop nicht "meinen" trojaner an board hat oder etwas anderes gefährliches, werde ich den neuen rechner per lankabel mit dem router verbinden.

noch eine frage zu meinen externen festplatten:
ich habe die symptome des trojaners letzten sonntag bemerkt. die externen platten hatte ich wohl schon 3-4 wochen nicht am verseuchten rechner. klar, keiner wird mir hier sagen " nein, die sind sauber. nutze sie" . nur ne ehrliche antwort, soll ich sie auch "der kur" unterziehen und ist eine nutzung so wie sie sind zu risikoreich? was passiert mit den platten nach der "kur"? sind sie dann wieder normal an dem neuen rechner nutzbar? ich hab da ein paar platten mehr, alle auf einmal an den alten rechner geht leider nicht. soll ich sie nacheinander anschliessen und das prozedere wiederholen? oder kann ich die daten auf den Platten auch vergessen?

dake und gruß lupo10

Hallo Lupo,

das Hauptproblem ist doch das folgende: am letzten Sonntag hast du das erstmal gemerkt das was nicht stimmt, und bist dann aktiv geworden!

Was Dir hier niemand beantworten kann ist, wann war der Zeitpunkt der Infektion! War es der Sonntag, oder war es vor 6 Wochen?

Das einzige was du jetzt machen kannst ist, mach dein System SICHER! Soll heißen, User-Account statt Admin-Account nutzen, Antivirus, letzter Softwarestand des Betriebssystems, schlachte 2 Schaafe und Opfer sie Zeus/Odin/Thor, besprenkel deinen neuen PC mit Weihwasser, und dann schließe deine alten Festplatten an, und Starte einen Virusscan!

supi,

das sind mal konkrete antworten danke! jetzt ich eine vorgehensweise!

danke dir! womit scann ich jetzt am besten das laptop, damit ich weiss, das der trojaner sich nicht durchs netzwerk verbreitet hat?

gruß lupo10

so, nachdem ich mit panda onlinescanner gescannt habe und nod32 auch noch ein scann gemacht habe, kom ich zu dem ergebnis, das das laptop nicht verseucht ist!!:Boogie:
ich denke nun kann ich den rechner ans lankabel anstöpseln!

wo kann ich denn im netz größere dateien scann lassen, stichwort virustotal...