bösartiger Trojaner!!
 

Hoffe mir kann hier jemand weiterhelfen,
ich habe seit heute ein riesiges Problem.
Ich habe einen Trojaner auf meinem Rechner.

Das äussert sich so:
Sobald ich Windows gestartet habe versucht zunächst irgendeine Datei Verbindung zum Internet zu bekommen.
Nach ca. 2 Min startet Windows neu (auch wenn ich keine Verbindung zum Internet habe). Ich habe also gar nicht genug Zeit um
die Zone-Alarm-Virenprüfung durchlaufen zu lassen.

Das habe ich schon versucht:
Ich habe Windows versucht im abgesicherten Modus zu starten,
jedoch hat sich dabei auch etwas Eigenartiges ereignet.
Sobald ich mich als Benutzer ausgewählt habe und auf ja gegangen bin,
hat mein System ebenfalls einen Neustart durchgeführt!
Im abgesicherten Modus! :headbang:

Ich bin mir aber sicher dass ein Trojaner drauf ist,
bei der Spywareprüfung (für die die die 2 Min. ausgereicht haben)
habe ich irgendwelche Trojenerbezeichnungen entdeckt.
...Trojaner... (denke das war im Windows-Ordner)

Schätze mir bleibt nun nichts anderes übrig als meine Festplatte an einen anderen Rechner anzuschliessen und von dem aus mein Antivirusprogramm durchlaufen zu lassen.

Traue mich zumindest nicht mehr, meine System neu zu starten, da doch der Trojaner bei jedem Neustart wieder böse Dinge tut ;O/.

Kann mir vielleicht jemand sagen welche Art von Trojaner das sein könnte und ob es dafür eine Methode zum Entfernen gibt?

Wäre nett! :daumenhoc *liebschau* :o

Hallo,
ich bin immernoch nicht 100%ig davon überzeugt, dass ein Trojaner das Problem ist.
Musst du jetzt trotzdem erstmal machen, um eine genauere analyse zu machen. Hast du genügend Zeit bis das System abstürzt um ein Hijackthis Log zu erstellen?
Außerdem solltest du mal folgende Einstellung vornehmen(bei XP):
Start>>Einstellungen>>Systemsteuerung>>System>>Erweitert>>Starten und Wiederherstellen>>Einstellungen und dort den Haken bei "automatisch Neustart ausführen" rausnehmen.
Falls beim nächsten Absturz ein Bluescreen erscheint die Meldung wort wörtlich posten.



Grüße Wildone

Ok, ich glaube du hast Recht!
Ich habe festgestellt dass der Neustart immer kam, sobald mein System
die Hardware "Virtual Clone Drive" erkannte. Die Datei die Zugriff aufs Internet haben wollte ist absolut harmlos, wie ich nun festgestellt habe.
Ich habe nun "Virtual Clone Drive" deinstalliert, zumindest so weit es ging,
weil sich eine Datei nämlich nicht löschen lässt, da sie gerade ausgeführt wird.
:crazy: Also ich lasse nun die Zone-Alarm-Virenprüfung durchlaufen, da mein System sich nicht wieder von selbst neustartet.
Danke dass du so skeptisch warst, das hat mir geholfen wieder klar zu sehen und das Problem genauer zu analysieren.
(Dieses "Virtual Clone DRive hat ohnehin bei dem versuch es zu installieren angegeben dass es mit meinem Windows-System inkompatibel ist, ich hatte damals die Installation eingentlich abgebrochen, aber eigenartigerweise war da wohl doch ein teil davon installiert)
War ja auch komisch dass das alles nicht mal im abgesicherten Modus ging ;O)

Merci ;)

(Hoffe dass das Problem sich nun gibt und ich beim nächsten Neustart das blöde Programm komplett deinstallieren kann, anscheinend wuden nun Einstellungen vorgenommen dass es nicht mehr beim Starten von Windows automatisch ausgeführt wird)

Hallo,
schön das ich dir helfen konnte. Aktive Dateien kannst du im Notfall per killbox (delete on reboot) löschen.
Wenn du willst das ich zur Kontrolle nochmal über dein HijackThis Log schaue kannst du es noch posten.


Grüße Wildone

Hm, wenn ich wüsste was ein HijackThis Log ist würde ich dieses Angebot gerne annehmen ;O) habe nähmlich das gefühl dass mein System immer noch irgendwie spinnt. Ich habe seit ein paar Tagen ein neues Windows System drauf, seitdem habe ich keine Partitionierung der Festplatte mehr(also nur noch eine Festplatte) Eigenartigerweise habe ich 60 GB Speicher frei, kann aber nichtmal 30 GB auf meine Festplatte kopieren...:headbang:
und mein Wireless Lan Treiber öffnet sich nun nicht automatisch beim NeuStart. Oh mann, Windows ist eine einzige Krankheit....ohne wirksames Gegenmittel, glaube ich langsam ;O)
Ich möchte endlich mal ein Windows System draufhaben, das mir keine Kopfschmerzen bereitet...aber das ist glaube ich eine Traumvorstellung...
im Paradies ist das bestimmt so :lach:

Also ich habe die Zone Alarm-Virenprüfung durchlaufen lassen, aber die konnte nix finden...

Komme mir grad vor wie ein dummes Schweinchen :piggi: *grunz* *lol*

Grüssle die Kirsche

Besuchen Sie unseren Themenbereich Anleitungen, FAQ und Links ;)
Welche WLAN-Karte hast Du?
Es gibt noch Linux und Mac :)
Lese mal bitte das. :)
Hast Du ZA-Security Suite am PC?

Okeydokey, hier ist er:

Logfile of HijackThis v1.99.1
Scan saved at 16:59:26, on 02.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.5346.0005)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe
C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Adobe\Adobe Version Cue CS2\bin\VersionCueCS2.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZONELABS\vsmon.exe
C:\Programme\Adobe\Adobe Version Cue CS2\data\database\bin\mysqld-nt.exe
C:\WINDOWS\explorer.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\system32\ZoneLabs\isafe.exe
C:\PROGRA~1\ZONELA~1\ZONEAL~1\MAILFR~1\mantispm.exe
C:\WINDOWS\system32\wisptis.exe
C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Katl\Desktop\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://go.microsoft.com/fwlink/?LinkId=54729
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=55245&clcid={SUB_CLCID}
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://windowsupdate.microsoft.com/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [Adobe Version Cue CS2] "C:\Programme\Adobe\Adobe Version Cue CS2\ControlPanel\VersionCueCS2Tray.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Programme\Siemens\Gigaset WLAN Adapter\WLM.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O11 - Options group: [INTERNATIONAL] International*
O14 - IERESET.INF: START_PAGE_URL=http://www.acer.com
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - h**p://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1148912793687
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\OFFICE12\MSOXMLMF.DLL
O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: CA ISafe (CAISafe) - Computer Associates International, Inc. - C:\WINDOWS\system32\ZoneLabs\isafe.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZONELABS\vsmon.exe

Ich hoffe alles is im safen Bereich :huepp:

Hallo,
sieht alles sauber aus. Aber als Betatester für Microsoft (IE7) solltest du eigentlich immer ein frisches Image zur Hand haben. Verstehe ehrlich gesagt nicht so ganz warum du das machst.


Grüße Wildone

Was meinst du mir einem frischen Image?
Ehrlich gesagt hat mir mein Bruder alles installiert während ich auf der Arbeit war, ich war dafür zu faul :schmoll:
Kann es mit der Betaversion zu Problemen kommen? naja, finde halt die grafische Oberfläche so schön modern, komme eben aus der Design-Richtung, bin keine zahlenorientierte rational und opraktisch denkende Person *lol*
(kleiner Scherz)

Image ist eine Abbildung des Systems. Es ist empfohlen, diese von einem frisch installierten, zumindest von einem noch laufenden, System zu erstellen, um im Falle eines Crashes, was beim Testen von verschiedenen Betas nicht selten vorkommt, sowie bei einem sicherheitskritischen Virenbefall, das System schnell wiederherstellen zu können.
Und das ist in dem Fall auch gut so. ;)
Wenn es Dein Hauptkriterium für Auswahl der Software ist, musst Du ein Image ASAP erstellen. :D