Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)
-   -   Ist mein PC sauber? Trojanische Pferd TR/Horse.TLN gefunden (https://www.trojaner-board.de/88914-pc-sauber-trojanische-pferd-tr-horse-tln-gefunden.html)

Dedak 30.07.2010 16:56
Ist mein PC sauber? Trojanische Pferd TR/Horse.TLN gefunden
 
Hallo. Ich habe heute einen Antivir Scan gestartet da mein System nicht mehr so rund läuft.
Duch den Scan sind 4 verdächtige dateien gefunden worden:

Trojanische Pferd TR/Horse.TLN
JAVA/Agent.S
Java-Virus JAVA/Agent.R
Java-Virus JAVA/Agent.M.1

Inwiefern sind diese Dateien gefährlich bzw wie kann ich diese wieder loswerden? Ist die einzige Möglichkeit das Neuaufsetzen des Systems?

Ich habe meine System schon mit dem Hijack tool gescannt hier das HiJackthis Logfile:

HiJackthis Logfile:
Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:37:17, on 30.07.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINXP\System32\smss.exe
C:\WINXP\system32\winlogon.exe
C:\WINXP\system32\services.exe
C:\WINXP\system32\lsass.exe
C:\WINXP\system32\Ati2evxx.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\svchost.exe
C:\WINXP\system32\Ati2evxx.exe
C:\Programme\Avira\AntiVir Desktop\sched.exe
C:\WINXP\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Programme\Avira\AntiVir Desktop\avguard.exe
C:\Programme\Logitech\G-series Software\LCDMon.exe
C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe
C:\Programme\Logitech\SetPointP\SetPoint.exe
C:\Programme\Java\jre6\bin\jqs.exe
C:\Programme\Gemeinsame Dateien\LogiShrd\KHAL3\KHALMNPR.EXE
C:\WINXP\system32\PnkBstrA.exe
C:\WINXP\System32\TUProgSt.exe
C:\WINXP\system32\ctfmon.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Programme\ICQ7.1\ICQ.exe
C:\Programme\LevelOne\Common\RaUI.exe
C:\Programme\Avira\AntiVir Desktop\avshadow.exe
C:\Programme\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINXP\system32\wbem\wmiapsrv.exe
C:\WINXP\System32\svchost.exe
C:\WINXP\system32\dllhost.exe
c:\programme\avira\antivir desktop\avcenter.exe
C:\WINXP\System32\vssvc.exe
C:\WINXP\system32\dllhost.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINXP\system32\notepad.exe
C:\Dokumente und Einstellungen\xxx\Desktop\HiJackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programme\Gemeinsame Dateien\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Gemeinsame Dateien\Java\Java Update\jusched.exe"
O4 - HKLM\..\Run: [EvtMgr6] C:\Programme\Logitech\SetPointP\SetPoint.exe /launchGaming
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [StartCCC] "C:\Programme\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\programme\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ7.1\ICQ.exe" silent loginmode=4
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINXP\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: LevelOne Wireless Utility.lnk = C:\Programme\LevelOne\Common\RaUI.exe
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ7.1 - {71BFC818-0CED-42D6-9C87-5142918957EE} - C:\Programme\ICQ7.1\ICQ.exe
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINXP\Network Diagnostic\xpnetdiag.exe
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{35F6418E-CB40-4D54-B37F-5D35DF53F1DD}: NameServer = 192.168.0.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINXP\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINXP\system32\ati2sgag.exe (file missing)
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\Bluetooth\lbtserv.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINXP\system32\PnkBstrA.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\WINXP\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINXP\System32\TUProgSt.exe

--
End of file - 6886 bytes
--- --- ---

Crusader 30.07.2010 18:51
Hallo Dedak und Willkommen im Trojaner-Board,

Um dein System von eventuell vorhandener Malware zu befreien, bedarf es einerseits viel Zeit und andererseits viel Geduld und Genauigkeit. Lese dir immer genau und aufmerksam durch, was du als nächstes machen sollst. Dazu habe ich die Abfolge durchnummeriert, was bedeutet, dass du dies in der angegebenen Reihenfolge erledigen sollst. Solltest du Probleme beim Abarbeiten der Aufgaben haben, so melde dich bitte im nächsten Beitrag oder per PN an mich. Wichtig ist auch immer, das du eventuelle Vorkommnisse während der Bereinigung schilderst.
Wichtig ist, dass du während des Prozesses keine Programme installierst bzw. deinstallierst, ausgenommen es wird in den Aufgaben verlangt.
Solltest du nach 4 Tagen keine Antworten mehr im Thread posten, so gehe ich davon aus, dass sich das Problem erledigt hat und ich den Fall abschließen kann. Solltest du doch noch Hilfe brauchen, so melde mir das per PN.
Nun kannst du mit der/den folgenden Aufgabe(n) beginnen:

==== Punkt 1 ====

Zuerst einmal zu deiner Version von Windows: Es ist eher untypisch, das der Windows Systemordner "WINXP" heißt! Außerdem dürfte es etwas schwer bzw. unmöglich sein, diesen Systemordner nach der Installlation umzubenennen!
Deshalb meine Frage: Ist die von dir verwendete Version von Windows XP eine originale? Will heißen, dass du (zumindest) einen Lizenzaufkleber und eine originale Windows-CD besitzt?

Dedak 30.07.2010 19:12
Habe den Pc von meinem Cousin zusammengestellt bekommen und da war schon Windows so drauf, sehe jetzt keinen aufkleber und eine CD besitze ich auch nicht. Ich bin auch mit dem Rechner immer zu ihm gegangen wen irgendwas war aber momentan ist er im Urlaub.

Crusader 30.07.2010 19:19
Am Besten wäre, wenn du ihn einmal fragen würdest, ob dies eine originale und ordnungsgemäß lizenzierte Version von Windows ist.

Sollte es eine unrechtmäßig, heruntergeladene Version sein, besteht die Möglichkeit, dass bereits Viren in Windows integriert sind/waren. Dies könnte z.B.: ein Backdoor sein, der nun deinen Rechner kontrolliert oder andere Malware.
Sollte dies der Fall sein, empfiehlt sich, dringend den PC neu aufzusetzen, nur diesmal solltest du dir eine originale Windows Version zulegen. Diese bekommst du im Elektronikgeschäft oder im Internet (Amazon, Microsoft,...).

Dedak 30.07.2010 19:23
Hatte vorher nie Probleme bis heute.
Ist es die einfachste Möglichkeit das System zu formatieren und dann neu aufzuspielen oder sollte man wirklich schritt für schritt alles versuchen zu entfernen?
Habe in der zwischenzeit schon 2 mal Antivir drüber laufen lassen und er zeigte nichts mehr an können die Sachen jetzt vom PC runter sein oder muss man immer noch Angst haben irgendwas zu machen?

Crusader 30.07.2010 20:10
Hallo Dedak,

Ist ist zuerst jetzt zwingend notwendig, dass du deinen Cousin fragst, ob dies eine originale Version ist! Bevor wir das nicht wissen, kann ich dir leider nicht weiterhelfen!
Bitte das vorher noch abklären!

Du kannst inzwischen einmal diesen Originalitätstest machen: Microsoft Windows Check

Wobei man bei dem auch nicht 100% sicher sein kann, da es auch schon Cracks gibt, die auch bei diesem Test ein positives Ergebnis hervorrufen.


Alle Zeitangaben in WEZ +1. Es ist jetzt 18:23 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129