|
Trojaner Seit gestern spielt mein PC verrückt und macht selbständigie up- & downloads, sobald ich online bin. Ich hatte dann einen Trojaner Namens: dldr.small.buy.1 gefunden und auch im Archiv dieses Forum schon einige Tipps gefunden. Doch scheint der PC noch immer nicht so richtig zu funktionieren. Hat jemand eine Idee? hier mein Logfile: Danke :-) Logfile of HijackThis v1.99.1 Scan saved at 22:06:11, on 22.03.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe D:\Programme\antivir\AVGUARD.EXE C:\Programme\Network Associates\VirusScan\Avsynmgr.exe D:\Programme\antivir\AVWUPSRV.EXE D:\Programme\temp1\Spyware Doctor\sdhelp.exe C:\WINDOWS\System32\svchost.exe C:\Programme\Network Associates\VirusScan\Avconsol.exe C:\WINDOWS\Explorer.EXE C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe C:\Programme\CyberLink\PowerDVD\PDVDServ.exe C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Launch Manager\QtZgAcer.EXE C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe D:\itunes\iTunesHelper.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\antivir\AVGNT.EXE C:\WINDOWS\vsnpstd3.exe C:\WINDOWS\System32\MSDNSD32.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\SoftPerfect Personal Firewall\fw.exe C:\Programme\SpyWall\SpyWall.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe C:\WINDOWS\System32\MSDNSD32.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopIndex.exe C:\Programme\Google\Google Desktop Search\GoogleDesktopCrawl.exe C:\Programme\Mozilla Firefox\firefox.exe C:\Programme\Mozilla Thunderbird\thunderbird.exe C:\Dokumente und Einstellungen\Thomas\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://global.acer.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe O4 - HKLM\..\Run: [IMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [LManager] C:\Programme\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe O4 - HKLM\..\Run: [iTunesHelper] D:\itunes\iTunesHelper.exe O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\antivir\AVGNT.EXE" /min O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe O4 - HKLM\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard4.exe O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad4.exe O4 - HKLM\..\Run: [newname] C:\windows\newname4.exe O4 - HKLM\..\Run: [SoftPerfect Personal Firewall] C:\Programme\SoftPerfect Personal Firewall\fw.exe O4 - HKLM\..\Run: [SpywareFirewall] C:\Programme\SpyWall\SpyWall.exe O4 - HKLM\..\Run: [TrojanScanner] D:\Programme\temp1\Trojan Remover\Trjscan.exe O4 - HKLM\..\RunServices: [MS Domain Name Server Deamon] MSDNSD32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Google Desktop Search] "C:\Programme\Google\Google Desktop Search\GoogleDesktop.exe" /startup O4 - HKCU\..\Run: [MS Domain Name Server Deamon] MSDNSD32.exe O4 - Global Startup: Microsoft Office.lnk = D:\office\Office10\OSA.EXE O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\office\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_04\bin\npjpi142_04.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - D:\PROGRA~1\temp1\SPYWAR~1\tools\iesdpb.dll O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204 O17 - HKLM\System\CCS\Services\Tcpip\..\{1DEB7F45-96AE-4B44-977D-98F6F3ED88A5}: NameServer = 213.90.38.3 195.96.0.4 O17 - HKLM\System\CCS\Services\Tcpip\..\{FFB93AB8-B048-4D7A-B07D-A80FA909E9E3}: NameServer = 195.3.96.67,195.3.9.68 O20 - Winlogon Notify: Setup - C:\WINDOWS\system32\en8ql1l51.dll (file missing) O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\antivir\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe O23 - Service: AVSync Manager (AvSynMgr) - Unknown owner - C:\Programme\Network Associates\VirusScan\Avsynmgr.exe O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\antivir\AVWUPSRV.EXE O23 - Service: ERMLicSrv_ATL64 - Unknown owner - C:\WINDOWS\System32\ERM\6.4\ERMLicSrv_ATL64.exe O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: McShield - Unknown owner - C:\Programme\Gemeinsame Dateien\Network Associates\McShield\Mcshield.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - D:\Programme\temp1\Spyware Doctor\sdhelp.exe |
Hallo luchs123, Den System ist rettungslos verseucht, u.a. ist der aktiv: http://www.sophos.de/virusinfo/analyses/w32rbotcmz.html Der Hauptgrund für eine derartige Verseuchung ist Dein nicht aktuelles Betriebssystem. SP 2 und alle weiteren Sicherheitspatches müssen installiert sein! Bei einem Trojaner mit Backdoor-Funktionaltität rate ich Dir hier dringend zur Neuinstallation. http://www.mathematik.uni-marburg.de...c-removal.html http://www.mathematik.uni-marburg.de...ompromise.html http://en.wikipedia.org/wiki/Backdoor http://de.wikipedia.org/wiki/Botnet Empfohlene Anleitung zur Neuinstallation: http://www.trojaner-board.de/showthread.php?t=12154 Thema Datensicherung http://www.trojaner-board.de/showpos...8&postcount=11 dartus |
danke dartus. habs dann auch noch mit www.hijackthis.de versucht ... ist ganz hilfreich bei der auswertung des logfiles. ;-) |
Zitat:
Inwiefern? Ich hoffe nicht, dass du einen Bereinigungsversuch startest!! Das ganze ist wie Schimmel, hast du sowas einmal in der Wohnung wirst du es nicht mehr los! |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 01:43 Uhr. |
Copyright ©2000-2025, Trojaner-Board