Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Trojaner nach low level Format immer noch nicht weg! (https://www.trojaner-board.de/54470-trojaner-low-level-format-immer-noch-weg.html)

winfreak 22.06.2008 10:32
Trojaner nach low level Format immer noch nicht weg!
 
Hallo,

Ich brauche dringendst Hilfe!

Ich habe einen Trojaner, den ich nicht abschütteln kann, es scheint ein Backdoor Trojaner zu sein. In jedem Betriebssystem das ich neu installiert habe (nach Low Level format) hat ihn wieder. Er zeigt sich so: Mir werden alle PW's geändert, und wenn ich es wieder in ein anderes ändere das gleiche spiel. ich habe es satt, andauernd neue Konten zu erstellen!
Ich befürchte es ist dieser ZLob Rev 5 oder so... Nach ein bissl pidgin gequält, meinte einer meiner Kontakte, der Virus könnte sich im A Chip verstecken... So jetzt kommt die Frage: Wie krieg ich den dreck weg?

MfG

winfreak

PS: ich habe Mandriva und Windows XP Pro

Heike 22.06.2008 10:37
hast Du eine original Windows CD oder benutzt Du ein "gefundenes" Windows?

winfreak 22.06.2008 10:41
Ein Originales normales gutes Windows, mit der Hologram CD und ori Key installiert ;)

Heike 22.06.2008 11:00
folge mal dieser Anleitung, dann ist alles weg.
http://www.trojaner-board.de/51262-a...sicherung.html

wenn Du es so gemacht hast, und Du bist wieder mit was infiziert, ist wohl ein Programm, was Du bereits installiert hast, die Ursache.

was ist denn ein A Chip ? :)

winfreak 22.06.2008 11:04
@Heike

Das hab ich alles schon gemacht...

ein A Chip is so nen Chip zur ansteuerung von iwas, unter oder neben dem ram

Heike 22.06.2008 11:10
da wird mit Sicherheit kein Virus drin sein. :)

Wer hat noch Zugang zu Deinem PC?

winfreak 22.06.2008 11:12
Zitat:
Zitat von Heike (Beitrag 348259)
da wird mit Sicherheit kein Virus drin sein. :)

Wer hat noch Zugang zu Deinem PC?
Niemand

ist sogar mit PW geschützt

winfreak 22.06.2008 14:05
Mal ein HiJackthis Log file:

Code:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 14:10:03, on 17.06.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.20815)
Boot mode: Normal

Running processes:
I:\WINXP\System32\smss.exe
I:\WINXP\system32\csrss.exe
I:\WINXP\system32\winlogon.exe
I:\WINXP\system32\services.exe
I:\WINXP\system32\lsass.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\System32\svchost.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\system32\svchost.exe
I:\Programme\Alwil Software\Avast4\aswUpdSv.exe
I:\Programme\Alwil Software\Avast4\ashServ.exe
I:\WINXP\Explorer.EXE
I:\WINXP\system32\spoolsv.exe
I:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
I:\Programme\Mamutu\a2service.exe
I:\WINXP\system32\nvsvc32.exe
I:\WINXP\system32\svchost.exe
I:\WINXP\system32\RUNDLL32.EXE
I:\Programme\FlashGet\FlashGet.exe
I:\Programme\Analog Devices\Core\smax4pnp.exe
I:\Programme\Analog Devices\SoundMAX\smax4.exe
I:\Programme\QuickTime\qttask.exe
I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
I:\PROGRAMME\MAMUTU\mamutu.exe
I:\Programme\Winamp\winampa.exe
I:\WINXP\system32\ctfmon.exe
I:\Programme\Alwil Software\Avast4\ashMaiSv.exe
I:\Programme\Skype\Phone\Skype.exe
I:\Programme\Alwil Software\Avast4\ashWebSv.exe
I:\Programme\MSN Messenger\MsnMsgr.Exe
I:\Programme\AOL 9.0\aoltray.exe
I:\Programme\Pidgin\pidgin.exe
I:\WINXP\System32\alg.exe
I:\PROGRA~1\Yahoo!\MESSEN~1\ymsgr_tray.exe
I:\Programme\Skype\Plugin Manager\skypePM.exe
I:\Programme\Trillian\trillian.exe
I:\PROGRA~1\MOZILL~1\FIREFOX.EXE
I:\Programme\Microsoft Office\Office12\WINWORD.EXE
I:\WINXP\system32\cmd.exe
I:\PROGRA~1\MICROS~1\Office12\OUTLOOK.EXE
I:\WINXP\system32\notepad.exe
I:\Programme\Trend Micro\HijackThis\HijackThis.exe
I:\WINXP\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = hxxp://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://go.microsoft.com/fwlink/?LinkId=74005
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - I:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - I:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - I:\Programme\FlashGet\jccatch.dll
O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - I:\Programme\Burn4Free Toolbar\v3.3.0.0\Burn4Free_Toolbar.dll
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - I:\Programme\FlashGet\getflash.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - I:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - I:\Programme\Burn4Free Toolbar\v3.3.0.0\Burn4Free_Toolbar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE I:\WINXP\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE I:\WINXP\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Flashget] "I:\Programme\FlashGet\FlashGet.exe" /min
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] I:\Programme\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "I:\Programme\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [JMB36X Configure] I:\WINXP\system32\JMRaidTool.exe boot
O4 - HKLM\..\Run: [QuickTime Task] "I:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] I:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [avast!] I:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [Mamutu Guard] "I:\PROGRAMME\MAMUTU\mamutu.exe" /silent
O4 - HKLM\..\Run: [AOLDialer] I:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [WinampAgent] I:\Programme\Winamp\winampa.exe
O4 - HKCU\..\Run: [ctfmon.exe] I:\WINXP\system32\ctfmon.exe
O4 - HKCU\..\Run: [Skype] "I:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [Spark] I:\Programme\Spark\Spark.exe
O4 - HKCU\..\Run: [Yahoo! Pager] "I:\PROGRA~1\Yahoo!\MESSEN~1\YAHOOM~1.EXE" -quiet
O4 - HKCU\..\Run: [MsnMsgr] "I:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')
O4 - Startup: Pidgin.lnk = I:\Programme\Pidgin\pidgin.exe
O4 - Global Startup: AOL 9.0 Tray-Symbol.lnk = I:\Programme\AOL 9.0\aoltray.exe
O8 - Extra context menu item: &Alles mit FlashGet laden - I:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - I:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://I:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - I:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - I:\WINXP\system32\Shdocvw.dll
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - I:\Programme\FlashGet\FlashGet.exe
O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - I:\Programme\FlashGet\FlashGet.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - I:\WINXP\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - I:\Programme\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - I:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{3947DB32-FF1E-44A6-BBFE-3C0F9A753AA1}: NameServer = 192.168.178.1
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - I:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - I:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - I:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - I:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - I:\Programme\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - I:\Programme\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - I:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: Mamutu Service (Mamutu) - Emsi Software GmbH - I:\Programme\Mamutu\a2service.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - I:\WINXP\system32\nvsvc32.exe

--
End of file - 8254 bytes
Ich hoffe auf Hilfe!

//EDIT:

Es wurde grade wieder mein Mail und MSN PW geändert...

winfreak 22.06.2008 15:31
Bitte helft mir doch :(

undoreal 22.06.2008 15:33
Möchtest du nicht neuaufsetzten? Wenn ja; warum nicht?

winfreak 22.06.2008 20:41
Ich habe neu aufgesetzt...!

winfreak 05.07.2008 14:52
LOW LEVEL FORMAT= Formatieren, alles, wirklich ALLES! so gar den S.M.A.R.T Chip und mein TITEL ist ja "Virus NACH Low Level Format noch nicht weg"!

Und das heißt: ICH HABE NEU AUFGESETZT UND DER VIRUS IST IMMER NOCH DA!


MfG

winfreak

Lucky 05.07.2008 15:27
Großschreiben = Schreien = Unfreundlich

Wie bitte soll der SMART Status formatiert werden? Der liest die Daten von der HDD aus um Fehler zu erkennen, würde dieser formatiert wären diese Werte absolut nutzlos.
Warum ist dein Windows auf Laufwerk I wenn du neuaufgesetzt hast?

winfreak 06.07.2008 06:55
Allso OK

Mein XP ist I:

-Weil ich einen Kartenleser habe, der beim Booten und in der Installation von Windows XP erkannt wird
-Weil ich Vista noch nebenher bei der gelegenheit Installiert habe

so kommt es das Mein XP I ist.

Edit:

ich habe wo gelesen dass das ein Low Level Format macht. Ist aber nicht so, er löscht aber auf jeden Fall alle Partitionen und Formatiert die Platte (Hartnäckig, man kann mit so File Recovery Tools nichts mehr machen).

Lucky 06.07.2008 08:39
Fassen wir zusammen du hast ein Low Level Format gemacht aber Vista ist drauf geblieben?

winfreak 06.07.2008 08:45
Zitat:
Zitat von winfreak (Beitrag 351880)
...Er löscht aber auf jeden Fall alle Partitionen und Formatiert die Platte (Hartnäckig, man kann mit so File Recovery Tools nichts mehr machen)...
So, deswegen kann das garnicht sein...

Alles war weg, Vista, XP, alles

Ich habe Vista und XP wieder installiert

MfG

winfreak

erty 06.07.2008 08:58
hat denn irgendein Antivirenprogramm oder antirootkit (gmer oder mbr.exe (auch von gmer)) programm auf dem besagten pc etwas gefunden? benutzt du noch einen anderen PC?

winfreak 06.07.2008 09:11
Zitat:
Zitat von erty (Beitrag 351901)
hat denn irgendein Antivirenprogramm oder antirootkit (gmer oder mbr.exe (auch von gmer)) programm auf dem besagten pc etwas gefunden? benutzt du noch einen anderen PC?
Nein, eben nicht. Das ist ja das erschreckende, ja ich habe noch nen anderen PC und nein, er ist nicht clean, er scheint auch betroffen...

erty 06.07.2008 09:17
welche Programme hast du scannen lassen bzw. welches AV nutzt du?

hast du den 2ten Pc auch formatiert, oder kann es sein dass dieser für den PW-wechsel verantwortlich ist?

Lucky 06.07.2008 09:20
Und mit welchem Programm hast du ein Low Level Format durchgeführt?

erty 06.07.2008 09:26
was hast du denn überhaupt für eine Festplatte? Neuere Festplatten kannst du gar nicht mehr im LLF formatieren.

winfreak 12.07.2008 21:47
eine Seagate Baracuda 10 oder so


Nunja, das mit dem 2. PC könnt nat. sein!

Ich hatte avast! benutzt

Das Programm, puh, wie hieß das... das war eins von IBM funzt aber bei eder Platte!

MfG

winfreak

Lucky 13.07.2008 08:06
Ich glaube nicht an einen LowLevel Format. :D

Zitat:
Zitat von Wikipedia.de
Keines dieser Programme leistet ein echtes Low-Level-Format, sondern bietet unter diesem Namen die Option an, einen Zero-Fill durchzuführen, um dabei auch schlechte Sektoren zu remappen.
Quelle: http://de.wikipedia.org/wiki/Formatierung#Werkzeuge_und_Dienstprogramme_zur_Low-Level-Formatierung


Alle Zeitangaben in WEZ +1. Es ist jetzt 00:51 Uhr.

Copyright ©2000-2024, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130