Trojaner-Board - ich habe mich Wahrscheinlich Infiziert!

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - ich habe mich Wahrscheinlich Infiziert! (https://www.trojaner-board.de/72245-habe-mich-wahrscheinlich-infiziert.html)

hm, was soll ich hinschicken? den dl. link?
achja und wenn das teil noch drauf ist dann kriege ich es wohl nichtmehr runter.
(mit denen sachen die ich auf dem pc habe)

glaube ich.
jedenfalls das taskmanager ding ist weg.
kann es auch das das das nur in troja oder so war wo den task manager unterdrückt?

greez Shadow xXx
Edit:uff schon 12 mal runtergeladen, die armen menschen -,-.
naja habs an avira gesendet.... und bange weiter um meinen pc.
werde nun erstmal offline gehen, wenn der pc aus ist kann er ja nix machen.
hoffe mein Trojaner-board.de acc. wird mir nicht geklaut.

Greez Shadow xXx

Nein, die Datei selber. http://analysis.avira.com/samples/index.php

Was auch immer dabei raus kommt, da du ohne Servicepacks unterwegs bist, solltest du ernsthaft darüber nachdenken, und erstrecht nach dem Ausführen dieser Datei, ob eine Neuinstallation nicht das beste wäre. Dann aber nur noch mit Servicepack 3 + Updates, ansonsten solltest du SEHR gut aufpassen, oder am besten nicht ins Netz gehen....

mir ist es ja nur passiert weil ich so dumm war, und eine datei heruntergeladen habe + angeklickt, die ich nicht kenne.
sonst passiwert mir sowas nicht.
aber sp1 oder 3 hätte ich gern:/
wie gesagt du weisst warum es nicht geht,vorerst.
hauptsache ich bekomme das teil runter, wenns überhaupt noch drauf ist.

werde nun mal bitdefender testversion versuchen...

greez

würde ja gerne edit. geht aber nicht.
so Bitdefender geht nicht. Avg auch nicht....hängt mit meinem Windows und sp zusammen.
"GData,nProtect und VBA32 " wären die lezten die es finden.
wenn die nicht gehen muss ich neu installieren, befürchte ich.

EDIT:
so VBA32 geht installieren,
du hast doch einen vpc, würdest du testen ob vba32 den troja wegbekommt? (in der free-demo version?)

Greez

Avira erkennt die Datei jetzt als TR/Claus.A und Malwarebytes Anti-Malware als Trojan.Agent

Lass dein System mit beiden Scannern durchsuchen (Vollständigen Scan und vorher updaten).

könnte es dann weg sein, glaube der "claus" wurde bei avira vorhin gefunden.
Greez

Das kann natürlich gut sein, aber sicher sein kannst du dir nicht. Eine Neuinstallation wäre die beste Möglichkeit.

mfg, Kaos

aber eine die ich ungerne wählen würde.

greez

EDIT:
so gerade erst realisiert , habe den VBA32 wieder gelöscht,und mein avira hastte dort claus gefunden, das kann heißen das vb32 claus schon längst in quarantäne hatte,und als ich es gelöscht habe oder zuvor, hat es avira unter quarantäne genommen.
avira hat claus 3 mal drinnen und pc ist beim normalen durchsuchen clean mit avira und malwarebytes.
glaube bin nun ganz clean.

Greez

* einspring *

Hi, habe den Thread mal überflogen, du meinst ja du seist jetz " Clean ", poste zur Sicherheit noch ein Hijackthis Log. http://www.trojaner-board.de/51871-a...tispyware.html kann auch nicht schaden.

Ein Experte , wird sich sicher bald deinen Thread erneut ansehen :)

P.S. Falss du Superantispyware schon gemacht hast, oder du kein Internet oder sonst was hast, ignoriere mein Beitrag ( Wie gesagt nur überflogen )
Aber bleibe am besten solang im Forum bis dir ein Experte sagt dein Rechner ist sauber :)

* Rausspring*

Edit: Thread jetz ganz durchgelesen.^^

Hi,

wie hast du dir das vorgestellt, als du hier den Link zu immernoch aktiver Malware online gestellt hast?

Da wird schon keiner draufklicken und wenn dohc ists nicht meine Schuld?

Ich hab den Link jetzt mal gemeldet, damit nicht noch mehr Leute sich das Ding runterladen.

Wenn dein Kumpel unbewusst Malware verschickt sollte er wohl seinen Rechner auch mal bereinigen oder formatieren.

XP ohne SP ist vollkommen inakzeptabel. Du kannst froh sein, dass dein Rechner nicht deutlich schlimmer aussieht. Es gab Studien in denen Rechner auf dem selben Stand wie deinem, nach weniger als 4 Minuten im Internet komplett infiziert waren, dabei haben sie nicht einmal den Internet Explorer für geöffnet.
Die SP gibt es auch bei chip.de oder anderen Downloadseiten (deines Vertrauens! nicht irgendwas unbekanntes nehmen!), alternativ könntest du legal ein anderes Betriebssystem erwerben und dieses komplett ohne Risiko nutzen.
Es gibt heutzutage viele kostenlose Linuxderivate die Windows sehr ähnlich sehen und einige Emulatoren, die eine Vielzahl der Windowsspiele auch unter Linux zum laufen bringen.

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 431343)

also erstmal war es jemand der sich so gennant hat, weiss ja nicht in welchem freundeskreis du abhängst aber meine freunde schicken mir keine trojas.
zweitens, sagte ich das es der troja ist.

und 3tens ich bin schon jahre mit avira und sp1 unterwegs(ohne updates)
und kenne 2 andere persönlich die es auch so machen und wir hatten nie viele viren oder so ;)

@Shadow09:
aber naja , werde mal "Superantispyware" und "highjackthis" probieren, aber glaube zuvor hatte highjackthis auch nichts gemerkt.

Greez

Zitat:

Zitat von shadowxxx (Beitrag 431462)

also erstmal war es jemand der sich so gennant hat, weiss ja nicht in welchem freundeskreis du abhängst aber meine freunde schicken mir keine trojas.

Zitat:

zweitens, sagte ich das es der troja ist.

und unsere Anleitungen sagen:

Zitat:

Dies wäre ein "aktiver Link" -> http://www.domain.de/

ändern in -> h**p://www.domain.de
oder -> w*w.domain.de

Nun ist der Link der in deinem Beitrag steht inaktiv und somit ungefährlich für andere Benutzer.

hat dich auch nicht davon abgehalten, den Link aktiv zu posten. Genauso wie es andere Leute nicht davon abhalten wird auf den Link zu klicken.

Zitat:

und 3tens ich bin schon jahre mit avira und sp1 unterwegs(ohne updates)
und kenne 2 andere persönlich die es auch so machen und wir hatten nie viele viren oder so ;)

Du bist ohne SP1 unterwegs und wahrscheinlich nicht direkt ans Netz angeschlossen, sondern über Router unterwegs?

Die Datei die da heruntergeladen und ausgeführt hast, ist ein Dropper. Sprich eine Datei deren einziger Sinn es ist weitere Malware nachzuladen, je nachdem wie lange die schon auf deinem Rechner ist, hat sie mittlerweile alles notwendige nachgeladen, um es sich bei dir richtig gemütlich zu machen.
(Vielleicht hast du aber nochmal glück gehabt. ;) Man kann ja immer hoffen. :p)
Ich würd dir empfehlen auf jedenfall noch auf Rootkits zu scannen (vorher bitte alle offenen Programme schließen):
Blacklight scannen lassen

* Lade F-Secure Blacklight runter in einen eigenen Ordner, z.B. C:\programme\blacklight. Sollte der Download nicht klappen, dann probiere es mit diesem Link.
* Starte in diesem Ordner blbeta.exe. Alle anderen Programme schließen.
* Klick "I accept the agreement", "next", "Scan".
* Wenn der Scan fertig ist beende Blacklight mit "Close".
* Im Verzeichnis von Blacklight findest Du das erstellte Log fsbl-XXX.log, anstelle der XXX steht eine längere Folge von Ziffern.

Sophos scannen lassen

* Gehe zu Sophos und lade dir ihren Rootkitescanner herunter. Du bekommst eine Installationsdatei sarsfx.exe.
* Starte diese, akzeptiere die Lizenz und lass das Programm installieren, ändere den Pfad C:\SOPHTEMP nicht.
* Gehe mit dem Explorer in diesen Ordner und starte sargui.exe, schließe danach alle anderen Programme.
* Lass unter Area alles angehalt und starte den Scan mit "Start scan". Der Scan dauert einige Zeit, wenn er fertig ist poppt ein Fenster auf mit einer Zusammenfassung, klicke dort "Ok". Beende den Sophos Rootkitscanner, dieser Scan dient nur der Analyse.
* Starte den Explorer und gib in der Adresszeile "%temp%" ein (ohne Anführungsstriche), dort gibt es eine Datei sarscan.log, deren Inhalt bitte posten.

Gmer scannen lassen

Lade dir Gmer von dieser Seite runter und entpacke es auf deinen Desktop.

Starte gmer.exe und gehe zum Tab Rootkit. Alle anderen Programme sollen geschlossen sein.

Stelle sicher, daß in der Leiste rechts alles von "System" bis "ADS" angehakt ist
(Wichtig: "Show all" darf nicht angehakt sein)

Starte den Durchlauf mit "Scan".

Mache nichts am Computer während der Scan läuft.

Wenn der Scan fertig ist klicke auf "Copy" um das Log in die Zwischenablage zu kopieren. Mit "Ok" wird Gmer beendet.

Füge das Log aus der Zwischenablage in deine Antwort hier ein.

lg myrtille

Zitat:

Zitat von myrtille (Beitrag 431471)

Es gibt ne Menge Befälle, die genau das tun: Links über MSN/ICQ verschicken um andere Leute dazu zu verleiten diese auszuführen. Wenn man diese Datei ausführt, fängt man an ohne eigenes Zutun selber diese Links an alle Personen auf seiner Kontaktliste zu verschicken. Das hat nichts mit Freund oder nicht Freund zu tun.
Das nächste Mal werd ich auf die "" achten.

und unsere Anleitungen sagen:

hat dich auch nicht davon abgehalten, den Link aktiv zu posten. Genauso wie es andere Leute nicht davon abhalten wird auf den Link zu klicken.

Du bist ohne SP1 unterwegs und wahrscheinlich nicht direkt ans Netz angeschlossen, sondern über Router unterwegs?

Die Datei die da heruntergeladen und ausgeführt hast, ist ein Dropper. Sprich eine Datei deren einziger Sinn es ist weitere Malware nachzuladen, je nachdem wie lange die schon auf deinem Rechner ist, hat sie mittlerweile alles notwendige nachgeladen, um es sich bei dir richtig gemütlich zu machen.
(Vielleicht hast du aber nochmal glück gehabt. ;) Man kann ja immer hoffen. :p)......

also erstens sagte ich das es nicht der freund war, auch nicht sein rechner , es war eine "lebendige" Person die sich dort einloggte! blos mit seinem namen, der name hat aber nichts mit dem acc. zu tun.
"Du bist ohne SP1 unterwegs" also sonst eigentlich nicht, aber seitdem ich diesen PC Formartiert habe ja.

auserdem habe ich internet auf diesem pc aus, nur wenn ich etwas "wichtiges" machen muss ist es an.

Zu den Rootkits scans, was bewirken diese?

___
und hier die Logs.
Avira+mbam finden nichts.
Highjackthis

Code:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:49:08, on 24.04.2009

Platform: Windows XP  (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Boot mode: Normal
 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Programme\Java\jre6\bin\jqs.exe

C:\WINDOWS\System32\nvsvc32.exe

D:\Programme\Franzis\Alcohol Virtual CD + DVD\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Programme\Java\jre6\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

D:\Programme\Trend Micro\HijackThis\HijackThis.exe
 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box;192.168.178.1

O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [IMJPMIG8.1] C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\System32\IME\PINTLGNT\ImScInst.exe /SYNC

O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\System32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programme\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6.5\ICQ.exe

O16 - DPF: {EAEFAD15-8753-45EF-94B0-1BAA7970CC21} (pmpeg4cam Class) - http://193.138.213.169/MpegInst.cab

O16 - DPF: {F3D4C08D-3616-43F0-9E29-44C749B0664B} (pmjpegcam Class) - http://193.138.213.169/JpegInst.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - D:\Programme\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe

O23 - Service: nProtect GameGuard Service (npggsvc) - Unknown owner - C:\WINDOWS\System32\GameMon.des.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - D:\Programme\Franzis\Alcohol Virtual CD + DVD\StarWind\StarWindService.exe
 

--

End of file - 4464 bytes

Superantispyware

Code:

SUPERAntiSpyware Scan Log

http://www.superantispyware.com
 

Generated 04/24/2009 at 00:43 AM
 

Application Version : 4.26.1000
 

Core Rules Database Version : 3860

Trace Rules Database Version: 1812
 

Scan type       : Complete Scan

Total Scan Time : 01:38:40
 

Memory items scanned      : 397

Memory threats detected   : 0

Registry items scanned    : 3513

Registry threats detected : 0

File items scanned        : 166520

File threats detected     : 10
 

Adware.Tracking Cookie

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@ads.techno4ever[1].txt

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@hotlog[1].txt

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@snipereliteforce.freephpnuke[1].txt

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@adserver.terahost[1].txt

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@toplist[2].txt

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@content.yieldmanager[1].txt

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@doubleclick[1].txt

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@euros4click[1].txt

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@toplist[1].txt

        C:\Dokumente und Einstellungen\Shadow xXx\Cookies\shadow xxx@ad.yieldmanager[1].txt

Greez