|
Seid gegrüßt! Bin durch die Onlinesuche von web.de auf dieses Forum gestoßen und bin echt begeistert davon! Leider hat sich auch auf meinem Rechner o.g. Trojaner eingenistet! :( Ich habe mir die Antworten zu diesem Thema hier schon durchgelesen, aber nicht allzu viel davon verstanden. Vor allen Dingen was die Auswertung der Hijacklist angeht. Vielleicht findet sich ja jemand, der mir das verständlich erklären kann. Bin zwar kein Neuling auf dem PC-Gebiet, aber BIOS u.ä. sind für mich böhmische Dörfer! :koch: Poste hier mal meine Hijacklist: Logfile of HijackThis v1.99.0 Scan saved at 14:59:01, on 07.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\SOUNDMAN.EXE C:\HP\KBD\KBD.EXE C:\Programme\VERITAS Software\Update Manager\sgtray.exe C:\Programme\Real\RealPlayer\RealPlay.exe C:\WINDOWS\SOINTGR.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINDOWS\System32\RUNDLL32.EXE C:\Dokumente und Einstellungen\Media.HPPAV\187.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Programme\Messenger\msmsgs.exe C:\Programme\WEBDE\SmartSurfer2.3\SmartSurfer.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Media.HPPAV\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de7.hpwis.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://de7.hpwis.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER O4 - HKLM\..\Run: [SO5 Integrator Pass Two] C:\WINDOWS\SOINTGR.EXE O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Microsoft Update] vpc32.exe O4 - HKLM\..\Run: [Windows Service Pack Auto Update] C:\Dokumente und Einstellungen\Media.HPPAV\187.exe O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\RunServices: [Microsoft Update] vpc32.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O12 - Plugin for .mp3: C:\Programme\Internet Explorer\PLUGINS\npqtplugin4.dll O12 - Plugin for .mpeg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www6.pc-sicherheit.web.de/ols/fscax.cab O16 - DPF: {E855A2D4-987E-4F3B-A51C-64D10A7E2479} (EPSImageControl Class) - http://tools.ebayimg.com/eps/activex...trol_v1-32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{9168EBD4-D87B-4542-89D9-B7CD9E87160D}: NameServer = 195.71.231.179 193.189.244.205 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Remote Event - Unknown - C:\WINDOWS\System32\drivers\svchost.exe (file missing) Wäre nett, wenn mir einer sagen könnte, WAS ich WIE löschen muß, damit ich diesen sturen Gaul von meinem PC kriege. Habe übrigens Windows XP als Betriebssystem. Danke und Gruß Marco |
@Opelfan Zitat:
Zitat:
|
Hallo! Nachdem ich heute nun endlich mein System neu aufgesetzt habe, kopiere ich den neuen Hijack Log nochmal hier rein, damit ihr mir sagen könnt, ob jetzt alles an Trojanern und Würmern vernichtet wurde. Also let´s go... Logfile of HijackThis v1.99.0 Scan saved at 19:47:07, on 12.02.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\svchost.exe C:\WINDOWS\System32\snapple.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\ScanSoft\OmniPageSE\opware32.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\FinePixViewer\QuickDCF.exe C:\WINDOWS\System32\soundmon.exe C:\WINDOWS\System32\wuauclt.exe C:\Programme\WEBDE\SmartSurfer2.31\SmartSurfer.exe C:\WINDOWS\system32\cmd.exe C:\WINDOWS\system32\ftp.exe C:\PROGRA~1\MOZILL~1\firefox.exe C:\Dokumente und Einstellungen\Marco\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis199.zip\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.tiscali.de/web/ R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tiscali.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by Tiscali F2 - REG:system.ini: Shell=Explorer.exe soundmon.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [StorageGuard] "C:\Programme\VERITAS Software\Update Manager\sgtray.exe" /r O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [Omnipage] C:\Programme\ScanSoft\OmniPageSE\opware32.exe O4 - HKLM\..\Run: [REGSHAVE] C:\Programme\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [snapple] snapple.exe O4 - HKLM\..\RunServices: [snapple] snapple.exe O4 - HKLM\..\RunOnce: [snapple] snapple.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [snapple] snapple.exe O4 - Global Startup: Exif Launcher.lnk = C:\Programme\FinePixViewer\QuickDCF.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm O14 - IERESET.INF: START_PAGE_URL=http://www.tiscali.de O17 - HKLM\System\CCS\Services\Tcpip\..\{61E41E17-333C-4780-AE8C-D2D23991AA3C}: NameServer = 195.71.231.179 193.189.244.205 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE Danke & Gruß Marco |
Sauber ist das Log in keinem Fall! Überprüfe mal online bei http://virusscan.jotti.dhs.org C:\WINDOWS\System32\snapple.exe C:\WINDOWS\System32\soundmon.exe und poste das Ergebnis. Die Prozesse vorher beenden. |
Hi! Hat zwar etwas länger mit der Auswertung gedauert, aber nun habe ich sie vorliegen. Es sieht nicht so gut aus, befürchte ich. Also, die erstgenannte [QUOTE] C:\WINDOWS\System32\snapple.exe beinhaltet den "Backdoor.Win32.PdPinch.gen" und die andere C:\WINDOWS\System32\soundmon.exe[/QOUTE] ist mit dem "Backdoor.Win32.Rbot.gen" infiziert!!! Wie kriege ich die beiden Dateien jetzt von meinem PC, ohne nochmal alles neu aufspielen zu müssen? Besten Dank Marco |
Hallo! Kann mir denn keiner von Euch helfen, wie ich die besagten Dateien entfernen kann? :heulen: Gruß Marco |
@Opelfan Zitat:
2.Neu aufsetzten inkl alle Patches und Updates: Anleitung 3 Vernünftig absichern:Info 4.Alle Passwörter wechseln. Noch Details: Ich habe Virus... 10 Immutable Laws... Wenn du einen von diesen Punkten auslässt oder nicht genau folgst, was schon geschah (kein SP2 wurde aufegspielt), bist du für ewiges Neuaufsetzen verbannt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 23:12 Uhr. |
Copyright ©2000-2024, Trojaner-Board