|
trojan-gen(other) lässt sich nicht entfernen kann "trojan-gen(other)" nicht ordentlich von meinem Rechner entfernen. Situation: - Rechner hochfahren - Internetverbindung öffnen (mit T-Online-Software; DSL-Anschluss) - Je nach Einstellung wird InternetExplorer oder FireFox geöffnet; - gleichzeitig zeigt AVAST an, dass er trojan-gen(other) gefunden hat (in installer.exe in einem temp-Verzeichnis unter DokumenteUndEinstellungen) - in einem zusätzliche IE-Fenster wird versucht auf eine InternetSite www.elitebadass.de zuzugreifen (die allerdings nicht gefunden wird) - Avast kann o.g. installer.exe entfernen - Internetverbindung bzw. IE kann nun beliebig oft geschlossen und wieder geöffnet werden. - nach Neustart des Rechners: Situation wie oben Weiss jemand Rat? |
|
Hijackthis logfile Hier das logfile: Logfile of HijackThis v1.99.1 Scan saved at 12:51:47, on 20.05.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Nhksrv.exe C:\Programme\Alwil Software\Avast4\aswUpdSv.exe C:\Programme\Alwil Software\Avast4\ashServ.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\atiptaxx.exe C:\WINDOWS\DELLMMKB.EXE C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE C:\WINDOWS\system32\servicez.exe C:\Programme\Alwil Software\Avast4\ashMaiSv.exe C:\Programme\T-DSL SpeedManager\SpeedMgr.exe C:\Programme\Microsoft AntiSpyware\gcasServ.exe C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe C:\Programme\iTunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\IE-DB.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Alwil Software\Avast4\ashWebSv.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Netropa\OSD.exe C:\Programme\Microsoft AntiSpyware\gcasDtServ.exe C:\Programme\T-DSL SpeedManager\tsmsvc.exe C:\DOKUME~1\Karola\LOKALE~1\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\WINDOWS\system32\wuauclt.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gurrathsoftware.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gurrathsoftware.de/ R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe O4 - HKLM\..\Run: [DellTouch] C:\WINDOWS\DELLMMKB.EXE O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE O4 - HKLM\..\Run: [PrinTray] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe O4 - HKLM\..\Run: [Windows Services] servicez.exe O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe" O4 - HKLM\..\Run: [gcasServ] "C:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [REGRUN] C:\IE-DB.exe O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\RunServices: [Windows Services] servicez.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...67&clcid=0x409 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1112125295534 O17 - HKLM\System\CCS\Services\Tcpip\..\{81A85178-F897-46CE-B498-9AB4915C2503}: NameServer = 217.237.150.33 217.237.151.161 O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - Unknown owner - C:\Programme\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing) O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing) O23 - Service: Hardware Clock Driver (hwclock) - Unknown owner - C:\WINDOWS\System32\hwclock.exe (file missing) O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Netropa NHK Server (Nhksrv) - Unknown owner - C:\WINDOWS\Nhksrv.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe |
Du kannst diese Datei: C:\WINDOWS\system32\servicez.exe mal im Takmanager unter Prozesse beenden und dann hier hochladen: http://virusscan.jotti.org/de/ Teile uns das Ergebnis mit. Sollte sich bestätigen, dass du ein Backdoor drauf hast (was imho zu 99,9% sicher ist), solltest du dein system neuaufsetzen.Am besten nach folgender Anleitung um ähnliches in Zukunft zu vermeiden: http://www.trojaner-board.de/showthread.php?t=12154 Warum eine Bereinigung in dem Fall nicht helfen kann: http://www.mathematik.uni-marburg.de...al.html#sec2.5 |
Danke für den Tipp. Es wurde anscheinend jede Menge gefunden: Status: INFIZIERT/MALWARE Entdeckte Packprogramme: PE_PATCH.MORPHINE, MORPHINE AntiVir Worm/SdBot.193536.5 gefunden Avast Keine Viren gefunden AVG Antivirus Keine Viren gefunden BitDefender Backdoor.RBot.B3E9E005 gefunden ClamAV Keine Viren gefunden # Dr.Web Win32.HLLW.MyBot.based gefunden F-Prot Antivirus W32/Spybot.ICT gefunden Fortinet Keine Viren gefunden Kaspersky Anti-Virus Backdoor.Win32.Rbot.gen gefunden mks_vir Win32.4 gefunden (moegliche Variante) NOD32 Win32/Rbot gefunden Norman Virus Control W32/Spybot.KKH gefunden VBA32 Keine Viren gefunden :heulen: Was empfehlt ihr als Profis? Danke für eure Antwort |
Du wurdest Opfer eine Backdoors. In diesem Fall hilft nurNeuaufsetzen und zwar nach folgender Anleitung: http://www.trojaner-board.de/showthread.php?t=12154 damit es in Zukunft nicht mehr zu sowas kommt. Warum eine Bereinigung hier nicht hilft: http://www.mathematik.uni-marburg.de...ompromise.html |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 10:32 Uhr. |
Copyright ©2000-2024, Trojaner-Board