Trojaner-Board - komplettes Benutzerkonto platt...

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - komplettes Benutzerkonto platt... (https://www.trojaner-board.de/77182-komplettes-benutzerkonto-platt.html)

komplettes Benutzerkonto platt...

Hallo!

Ich habe mir wohl was eingefangen (wohl durch einen Torrent - die werde ich wohl auch nicht mehr nutzen...), bin aber sehr unbedarft am PC mit Befall (war bis vor kurzem Mac-Userin) und weiß nicht weiter. Als erstes sprang bei dem Versuch einen Browser zu öffnen (egal welchen) die Datenausführungsverhinderung auf und verhinderte das Öffnen. Mittlerweile funktioniert der komplette Account nicht mehr. Ich habe jetzt unter dem (gott sei dank vorhandenen) zweiten Account HiJack laufen lassen. Der zweite Account funktioniert ohne Probleme.

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:40:29, on 06.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS.0\System32\smss.exe
C:\WINDOWS.0\system32\winlogon.exe
C:\WINDOWS.0\system32\services.exe
C:\WINDOWS.0\system32\lsass.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\System32\svchost.exe
C:\WINDOWS.0\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40ST7.EXE
C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
C:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS.0\system32\nvsvc32.exe
C:\WINDOWS.0\system32\svchost.exe
C:\WINDOWS.0\Explorer.EXE
C:\WINDOWS.0\system32\RUNDLL32.EXE
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe
C:\Programme\FreePDF_XP\fpassist.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\PowerISO\PWRISOVM.EXE
C:\WINDOWS.0\system32\ctfmon.exe
C:\Programme\Microsoft ActiveSync\Wcescomm.exe
C:\PROGRA~1\MICROS~3\rapimgr.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS.0\TEMP\nexrevxtip.exe
C:\WINDOWS.0\TEMP\nexrevxtip.exe
C:\Dokumente und Einstellungen\**\Eigene Dateien\Downloads\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - c:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS.0\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS.0\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Ashampoo FireWall] "C:\Programme\Ashampoo\Ashampoo FireWall\FireWall.exe" -TRAY
O4 - HKLM\..\Run: [FreePDF Assistant] C:\Programme\FreePDF_XP\fpassist.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "c:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Programme\PowerISO\PWRISOVM.EXE
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\ctfmon.exe
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\Wcescomm.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS.0\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS.0\system32\GPhotos.scr/200
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://c:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~3\INetRepl.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS.0\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Adobe LM Service AdobeAlerter (AdobeAlerter) - Unknown owner - C:\WINDOWS.0\TEMP\nexrevxtip.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: EPSON V5 Service4(01) (EPSON_EB_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40ST7.EXE
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users.WINDOWS.0\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S40RP7.EXE
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Message Queuing Service (MSMQSVC) - Unknown owner - C:\WINDOWS.0\system32\mqsv32.exe (file missing)
O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
O23 - Service: NMSAccessU - Unknown owner - C:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS.0\system32\nvsvc32.exe

--
End of file - 9571 bytes

Hallo und :hallo:

Stell sicher, daß Dir auch alle Dateien angezeigt werden, danach folgende Dateien bei Virustotal.com auswerten lassen und alle Ergebnisse posten, und zwar so, daß man die der einzelnen Virenscanner sehen kann. Bitte mit Dateigrößen und Prüfsummen:

Code:

C:\WINDOWS.0\TEMP\nexrevxtip.exe

C:\WINDOWS.0\system32\mqsv32.exe

Danach bitte diese Liste beachten und abarbeiten.

Die Logfiles kannst Du zB alle in eine Datei zippen und auf File-Upload.net hochladen und hier verlinken, denn 1. sind manche Logfiles fürs Board nämlich zu groß und 2. kann ich mit einem Klick mir gleich alle auf einmal runterladen.

Hallo und erst schonmal vielen Dank für deine Hilfe!

Die erste Datei habe ihc bei VirusTotal durchlaufen lassen:

Zitat:

Datei nexrevxtip.exe empfangen 2009.09.07 19:41:23 (UTC)
Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
Ergebnis: 6/41 (14.64%)
Laden der Serverinformationen...
Ihre Datei wartet momentan auf Position: 1.
Geschätzte Startzeit ist zwischen 43 und 62 Sekunden.
Dieses Fenster bis zum Abschluss des Scans nicht schließen.
Der Scanner, welcher momentan Ihre Datei bearbeitet ist momentan gestoppt. Wir warten einige Sekunden um Ihr Ergebnis zu erstellen.
Falls Sie längern als fünf Minuten warten, versenden Sie bitte die Datei erneut.
Ihre Datei wird momentan von VirusTotal überprüft,
Ergebnisse werden sofort nach der Generierung angezeigt.
Filter Filter
Drucken der Ergebnisse Drucken der Ergebnisse
Datei existiert nicht oder dessen Lebensdauer wurde überschritten
Dienst momentan gestoppt. Ihre Datei befindet sich in der Warteschlange (position: ). Diese wird abgearbeitet, wenn der Dienst wieder startet.

SIe können auf einen automatischen reload der homepage warten, oder ihre email in das untere formular eintragen. Klicken Sie auf "Anfragen", damit das System sie benachrichtigt wenn die Überprüfung abgeschlossen ist.
Email:

Antivirus Version letzte aktualisierung Ergebnis
a-squared 4.5.0.24 2009.09.07 -
AhnLab-V3 5.0.0.2 2009.09.07 -
AntiVir 7.9.1.12 2009.09.07 -
Antiy-AVL 2.0.3.7 2009.09.07 -
Authentium 5.1.2.4 2009.09.07 -
Avast 4.8.1351.0 2009.09.07 -
AVG 8.5.0.409 2009.09.07 -
BitDefender 7.2 2009.09.07 -
CAT-QuickHeal 10.00 2009.09.07 -
ClamAV 0.94.1 2009.09.07 -
Comodo 2210 2009.09.07 TrojWare.Win32.Trojan.Agent.Gen
DrWeb 5.0.0.12182 2009.09.07 -
eSafe 7.0.17.0 2009.09.06 -
eTrust-Vet 31.6.6724 2009.09.07 -
F-Prot 4.5.1.85 2009.09.07 -
F-Secure 8.0.14470.0 2009.09.07 -
Fortinet 3.120.0.0 2009.09.07 W32/Waledac.X.gen!tr
GData 19 2009.09.07 -
Ikarus T3.1.1.72.0 2009.09.07 -
Jiangmin 11.0.800 2009.09.07 -
K7AntiVirus 7.10.837 2009.09.05 -
Kaspersky 7.0.0.125 2009.09.07 -
McAfee 5734 2009.09.07 -
McAfee+Artemis 5734 2009.09.07 Suspect-29!BCBDB06E92F3
McAfee-GW-Edition 6.8.5 2009.09.07 -
Microsoft 1.5005 2009.09.07 -
NOD32 4403 2009.09.07 -
Norman 6.01.09 2009.09.07 -
nProtect 2009.1.8.0 2009.09.07 -
Panda 10.0.2.2 2009.09.07 -
PCTools 4.4.2.0 2009.09.07 -
Prevx 3.0 2009.09.07 Medium Risk Malware
Rising 21.46.04.00 2009.09.07 -
Sophos 4.45.0 2009.09.07 -
Sunbelt 3.2.1858.2 2009.09.07 Trojan-Downloader.Win32.Bredolab.x (v)
Symantec 1.4.4.12 2009.09.07 -
TheHacker 6.3.4.3.396 2009.09.04 -
TrendMicro 8.950.0.1094 2009.09.07 Cryp_Bredo
VBA32 3.12.10.10 2009.09.06 -
ViRobot 2009.9.7.1921 2009.09.07 -
VirusBuster 4.6.5.0 2009.09.07 -
weitere Informationen
File size: 27136 bytes
MD5...: bcbdb06e92f3d38be910f4b738c22fd5
SHA1..: 2f0cdb2953bef59cc78b59e6120e533ed15e9ef6
SHA256: 252ba78bbde73c6a4a6cbbdd80c9c38ca2ba3bd13190ef8838ef8827c0e8899f
ssdeep: 768:ztu+uMMCQ3+Yc3JhrexVakY6GsZJxNbx:zo+uMM7+YcjrefakYAJxNbx
PEiD..: -
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x487e
timedatestamp.....: 0x4062f604 (Thu Mar 25 15:08:52 2004)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x5000 0x4e00 6.32 e2f91d36b745b7198a09359af7060167
.data 0x6000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
.rdata 0x7000 0x2000 0x1400 5.20 ec74a54fab28157f59a768e5dfe42f72
.rsrc 0x9000 0x1000 0x400 3.12 df5504156a691cedd3d10eab888bbc3d

( 4 imports )
> KERNEL32.DLL: VirtualProtect, EnterCriticalSection, GetCurrentProcess, GetLastError, DisableThreadLibraryCalls, HeapAlloc, GetCurrentProcess, GetProcAddress, InterlockedIncrement, HeapDestroy, LoadLibraryA, HeapDestroy, DisableThreadLibraryCalls, HeapDestroy, LoadLibraryA, GetVersionExA, GetCurrentProcessId, InterlockedIncrement, ReadFile, LocalAlloc, HeapDestroy, GetModuleFileNameW, VirtualProtect, HeapAlloc, LocalAlloc, QueryPerformanceCounter, FreeLibrary, GetCurrentProcess, GetCurrentProcessId, GetVersionExA, GetVersionExA, InterlockedDecrement, InterlockedCompareExchange, GetProcessHeap, UnhandledExceptionFilter, InterlockedCompareExchange, LeaveCriticalSection, ReadFile, VirtualProtect, QueryPerformanceCounter, MultiByteToWideChar, CreateEventW, lstrcmpiW, DisableThreadLibraryCalls, GetModuleHandleA, CreateThread, VirtualProtect, LeaveCriticalSection, InterlockedDecrement
> GDI32.DLL: BitBlt, CreateBitmap, SetTextColor, CreateCompatibleDC, SetWindowExtEx, Rectangle, PatBlt, SetTextColor, CreateRectRgn, GetWindowExtEx, SetBrushOrgEx, SetWindowExtEx, SetPixel, SetBkColor, CreateBitmapIndirect, StretchBlt, BitBlt, CreateBitmap, GetCurrentObject, SetPixel, CreateDIBitmap, CreateSolidBrush, SetPixel, SetWindowOrgEx, Polygon, LineTo, Rectangle, SetBkColor, CreateCompatibleDC, GetCurrentObject, Ellipse, GetBrushOrgEx, PatBlt, SetBkColor, GetBrushOrgEx, SetPixel, GetWindowExtEx, SetBrushOrgEx, SetBkMode, Ellipse, GetBkMode, SetPixel, SetBkMode, SetWindowExtEx, GetBrushOrgEx, PatBlt, GetPixel, GetWindowOrgEx, GetBrushOrgEx
> USER32.DLL: SetCursor, BeginPaint, EndDialog, PostQuitMessage, LoadCursorW, LoadIconW, DestroyWindow, SetCursor, SetFocus, DialogBoxParamW, InvalidateRect, CreateWindowExW, SetCursor, InvalidateRect, CreateWindowExW, GetParent, DefWindowProcW, DefWindowProcW, TranslateMessage, TranslateMessage, PostQuitMessage, wsprintfA, InvalidateRect, MessageBoxW, PeekMessageW, EndDialog, SetCursor, LoadStringW, GetSysColor, GetClientRect, GetClientRect, PostMessageW, PostQuitMessage, GetDlgItem, IsWindow, ReleaseDC, LoadIconW, EnableWindow, SetCursor, PostQuitMessage, LoadCursorW, PostMessageW, ReleaseDC, GetParent, LoadStringW, GetSysColor
> ADVAPI32.DLL: ElfRegisterEventSourceW, LsaAddPrivilegesToAccount, SetServiceStatus, GetManagedApplications, BuildTrusteeWithNameW, RegEnumKeyA, GetAccessPermissionsForObjectA, GetNamedSecurityInfoW, LookupPrivilegeDisplayNameA, AccessCheckByTypeResultListAndAuditAlarmA, I_ScSetServiceBitsW, SystemFunction003, SystemFunction020, CryptDeriveKey, ReadEventLogA, MakeAbsoluteSD, LsaSetQuotasForAccount, ElfRegisterEventSourceA, SystemFunction023, StartTraceW, RegEnumValueW, GetMultipleTrusteeA, CryptSetProviderExW, CryptSignHashA, AccessCheckByTypeResultListAndAuditAlarmW, LsaClose, RegOverridePredefKey, IsValidAcl, ReadEventLogW, SetAclInformation, SystemFunction002, SystemFunction012, LsaQueryInformationPolicy, RegSetKeySecurity, ConvertStringSecurityDescriptorToSecurityDescriptorA, GetSidSubAuthorityCount, InitializeAcl, ElfReadEventLogA, ObjectPrivilegeAuditAlarmW, UnregisterTraceGuids, GetNamedSecurityInfoA, RegSetValueA, RegSetValueW, AccessCheckByTypeResultListAndAuditAlarmW, LogonUserA

( 0 exports )
RDS...: NSRL Reference Data Set
-
pdfid.: -
trid..: Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
<a href='http://info.prevx.com/aboutprogramtext.asp?PX5=6EED84F8004DB6196A10004F07C85C0093EFFDF0' target='_blank'>http://info.prevx.com/aboutprogramtext.asp?PX5=6EED84F8004DB6196A10004F07C85C0093EFFDF0</a>

Die zweite Datei findet die Suchfunktion gar nicht...

Ich habe bei Google und hier gesucht und habe nur gefunden, dass TrojWare.Win32.Trojan.Agent.Gen ein Backdoor-Trojaner ist...

Ich hoffe, das hilft schonmal weiter.

LG,
Sarah

geh mal bitte auf http://upload.trojaner-board.de/ und lad die Dateien dort bitte hoch, ich hoffe Du hast sie noch nicht gelöscht.

habe die Dateien nicht gelöscht, aber auch das zweite Benutzerkonto hat jetzt schon das Ding mit dem Öffnen des Browsers, so dass ich jetzt versuche Daten zu sichern und wohl eine Neuinstallation durchführen werde. Könnte ich da auch Probleme bekommen? Komme halt mit dem PC gar nicht mehr ins Internet...

Ja neuaufsetzen kannst Du immer. Ist eh immer sicherer bei kompromittierten Systemen. Wäre eber schon ganz gut, wenn Du die zwei Dateien irgendwie noch hochgeladen bekommst.

So, neu installiert und gut ist...

Leider konnte ich die Dateien auch nicht mehr hochladen, weil selbst im abgesicherten Modus gar nichts mehr ging - tut mir sehr leid.

Vielen Dank aber für deine Hilfe!

So schnell?? :confused:
Hattest Du Recovery-Medien oder hast Du "händisch" formatiert und Windows neu aufgespielt?

Du warst vorher reine Mac-Userin und deswegen glaub ich das nicht so recht... :rolleyes:

Naja, also der PC ist noch recht neu - also Daten auf DVD gebrannt und dann einfach von der CD neu installiert - die Datensicherung war also keine große Sache;-)

Okay wenn Du meinst.
Mich würde mal ein Hijackthis Logfile vom "frischen" System interessieren. Evtl. kann ich Dir noch Hinweise geben. Gerade bei jungfräulichen Systemen kann ein voreiliger Gang ins Internet eine neue Seuche nach sich ziehen...

Das sollst du haben - bin über Tipps imer dankbar... Problem war halt, dass ich den Rechner beruflich bruache und darum eine schnelle Lösung her musste...

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:00:58, on 09.09.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Skype\Phone\Skype.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\Downloads\HiJackThis.exe

O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 2981 bytes

Hallo Sarah ;)

Das Logfile ist doch schon viiiel besser und überschaubarer :)

Code:

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe

Windows-/Internet Explorer Update
Besuch mit dem IE die MS-Updateseite und lass Dir alle wichtigen Updates installieren.
Es geht v.a. ums Service Pack 3 und den IE8, auch wenn Du ihn nicht nutzt.

Java-Update
Deine derzeitig installierte Version von Java ist veraltet, was ebenfalls ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alten Versionen zu löschen und auf die neuste zu aktualisieren. Beende dazu alle Programme (v.a. die Browser), klick danach auf Start, Systemsteuerung, Software und deinstalliere darüber alle aufgelisteten Java-Versionen. Lad Dir danach von hier das aktuelle Java SE Runtime Environment (JRE) herunter und installiere es.

Ein PDF-Reader müsstest Du wahrscheinlich auch noch nachinstallieren:

Adobe Acrobat Reader aktualisieren
Dein Adobe Reader ist nicht aktuell, was ein großes Sicherheitsrisiko darstellt. Wir empfehlen daher, die alte Version über Systemsteuerung => Software zu deinstallieren, indem Du dort auf "Adobe Reader x.0" klickst und das Programm entfernst. Starte den Rechner neu und downloade den aktuellen Acrobat-Reader herunter und installiere ihn.

Falls Dir der Adobe Acrobat Reader nicht gefällt, kannst Du alternativ auch Foxit PDF Reader installieren. Er ist "schlanker" und benutzt weniger Resourcen.

So besser?

Zitat:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:08:40, on 09.09.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre6\bin\jusched.exe
C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Thunderbird\thunderbird.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Dokumente und Einstellungen\Sarah\Eigene Dateien\Downloads\HiJackThis(2).exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [HDAudDeck] C:\Programme\VIA\VIAudioi\HDADeck\HDeck.exe 1
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1252523766125
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 5385 bytes

Danke für die Adobe-Alternative, die gefällt mir gut.

WIe sieht es denn mit Firewall und Virenprogramm aus - bin ihc da mit Windows Firewall und AntiVir auf der sicheren Seite? Hatte vorher noch die Ashampoo Firewall...aber brauche ich die überhaupt?

Zitat:

Zitat von Fiedelliese (Beitrag 464185)

Firewall und AntiVir auf der sicheren Seite? Hatte vorher noch die Ashampoo Firewall...aber brauche ich die überhaupt?

AntiVIr reicht dicke aus. Lies Dir doch mal bitte in diesem Zusammenhang diesen Artikel durch: Kompromittierung unvermeidbar?

Zum Thema "Firewall" (eigentlich meinst Du Software- oder Dekstop-Firewall):
ZoneAlarm bzw. "Firewalls" von Drittanbietern kann ich nicht weiterempfehlen. Sie bieten keinen echten Mehrwert an Sicherheit, erhöhen aber die Komplexität des Systems, ich würde Dir daher empfehlen es zu deinstallieren bzw. garnicht erst zu installieren und nur die Windows-Firewall zu verwenden, die reicht aus und erhöht nicht die Komplexität des Systems, denn sie ist integraler Bestandteil des IP-Stacks in Windows.