Trojaner entdeckt...brauche hilfe! Einstellungen

[foostar]

Anti Vir zeigt mir 2 Dateien an und klassifiziert sie als Trojaner...sie sind aber nicht löschbar...die da wären:

-C:\WINDOWS\System32\favset.32 --->TR/Click.Small.KG
-C:\WINDOWS\System32\sphlp32.exe -->TR/Click.526

ich habe keine ahnung was nun zu tun ist und hoffe das mir jemand helfen kann!


hier noch das HjjackThis logfile:

Logfile of HijackThis v1.99.1
Scan saved at 14:30:08, on 10.05.2006
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\ahead\InCD\InCD.exe
D:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
D:\Programme\-editiert-\AnyDVD\AnyDVD.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
D:\Programme\ICQLite\ICQLite.exe
C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe
D:\Programme\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\QDesign Corporation\QDesign MPEG Audio Codec\Speed.exe
D:\Programme\MouseWare\system\em_exec.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\ahead\InCD\InCDsrv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\wdfmgr.exe
D:\Programme\iPod\bin\iPodService.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AntiVir PersonalEdition Classic\avcenter.exe
C:\Dokumente und Einstellungen\Marco und Roman\Desktop\HiJackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.ch/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\DOKUME~1\MARCOU~1\LOKALE~1\Temp\se.dll/sp.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://minisearch.startnow.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://minisearch.startnow.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Norman ZANDA] D:\PROGRAMME\NORMAN\Nvc\BIN\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [InCD] C:\Programme\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [QuickTime Task] "D:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [AnyDVD] D:\Programme\-editiert-\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [ytebuwfs] c:\windows\system32\ytebuwfs.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Win32] C:\Win32\dll\Win32k.exe -starthide C:\Win32\dll\Win32.exe -local
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HPAIO_PrintFolderMgr] C:\WINDOWS\System32\spool\DRIVERS\W32X86\hpoopm07.exe
O4 - HKLM\..\Run: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [mmtask] "C:\Programme\MUSICMATCH\MUSICMATCH Jukebox\mmtask.exe"
O4 - HKLM\..\Run: [yaemu.exe] C:\WINDOWS\System32\yaemu.exe
O4 - HKCU\..\Run: [LDM] D:\Programme\\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\Run: [_WinCheck] C:\WINDOWS\ConnectionStatus\Microsoft\services.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Speed Control.lnk = C:\Programme\QDesign Corporation\QDesign MPEG Audio Codec\Speed.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = ?
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O15 - Trusted Zone: *.frame.crazywinnings.com
O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM)
O15 - Trusted IP range: 206.161.125.149
O15 - ProtocolDefaults: 'http' protocol is in My Computer Zone, should be Internet Zone (HKLM)
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/6247971C...e/bridge-c5.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab
O16 - DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} (Cult3D ActiveX Player) - http://www.cult3d.com/download/cult.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/28a1afee3399c5...RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1123946327796
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1147017025140
O16 - DPF: {70BA88C8-DAE8-4CE9-92BB-979C4A75F53B} (GSDACtl Class) - http://launch.gamespyarcade.com/software/launch/alaunch.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmesse...pdownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{1C6A0CA5-1ACA-4187-8159-EBA539528878}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CCS\Services\Tcpip\..\{2DB7958A-D0B1-4128-8985-C0A6592BAC0D}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CS2\Services\Tcpip\..\{1C6A0CA5-1ACA-4187-8159-EBA539528878}: NameServer = 85.255.114.10,85.255.112.219
O17 - HKLM\System\CS3\Services\Tcpip\..\{1C6A0CA5-1ACA-4187-8159-EBA539528878}: NameServer = 85.255.114.10,85.255.112.219
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD File System Service (InCDsrv) - AHEAD Software - C:\Programme\ahead\InCD\InCDsrv.exe
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - D:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norman ZANDA - Unknown owner - D:\Programme\Norman\NVC\BIN\ZANDA.EXE (file missing)
O23 - Service: Norman Virus Control on-access component (nvcoas) - Unknown owner - D:\PROGRAMME\NORMAN\Nvc\BIN\nvcoas.exe (file missing)
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Unknown owner - D:\PROGRAMME\NORMAN\Nvc\BIN\NVCSCHED.EXE (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

danke im voraus für eure hilfe

[Voyager]

ich zähle 5 Trojaner und 1 Hijacker auf einem ungepatchten System , du kommst besser wenn du das XP neu aufspielst.

[foostar]

hab ich mir schon gedacht...mein bruder hat ganze arbeit geleistet...sein pc und ich darf ihn dann flicken...

danke für die info...

[Rene-gad]

...mein bruder hat ganze arbeit geleistet...

Und er hat bestimmt die Admin-Rechte...

[Gast_Jens1962_*]

sein pc und ich darf ihn dann flicken... [right][snapback]148092[/snapback][/right]

Dann flicke ihn gleich richtig.

Platform: Windows XP SP1 (WinNT 5.01.2600)

Seit wenigen Tagen (ca. 700!!! ) gibt es das Servicepack 2.

Jens

[+Flori+]

Hi,

1. Lade dir die kostenlose Software von Ewido herunter.
Ewido Anti-Malware, ca. 7,6 MB (nur Win 2000 und XP). http://www.ewido.net/de/download/

2. Installiere es (Bei der Installation bitte nicht den Hintergrundwächter aktivieren).
Nach der Installation der Software ist unbedingt noch das Update einzuspielen.
Einfach in der Software auf Update klicken.

3. Um eine optimale Überprüfung mit dem Tool zu gewährleisten, sollte der PC ausschließlich mit der folgenden Anweisung gescannt werden.
- PC vom Netzwerk und Internet trennen.
- Die Systemwiederherstellung deaktivieren (Nur Windows XP und ME).
- PC im abgesicherten Modus starten.
Für den Punkt 2 und 3 findet man hier eine Anleitung. http://www.bsi.de/av/texte/wiederher.htm

4. Die Antimalware-Software starten und eine komplette Überprüfung des Systems vornehmen. Bei einer erkannten Infektion sollte den Anweisungen der Software gefolgt werden. Die Meldungen Tracking-Cookies sind harmlos.
5. PC wieder normal Starten und die Systemwiederherstellung aktivieren

6. Zur Kontrolle prüfe deinen PC dann mal mit dem Online-Scanner von Panda.
Findet zwar Viren Würmer und Malware, kann diese aber nicht bereinigen.
http://www.pandasoftware.com/activescan/de...n_principal.htm
Und dem BitDefender Online Scan.
http://www.bitdefender.de/bd/site/page.php#

Wichtig!
Wenn die Scanner was finden dann Poste bitte die Scan-Protokolle.

[Magiix]

Hallo Flori,

hatte auch ein Problem mit diesem Trojaner "TR/Click.Small.KG", der von Antivir erkannt und gelöscht worden ist. Dennoch blieb eine unerwünschte Toolbar im IE. Darüber leitete der IE mich auf falsche Seiten, wenn ich einen Link anklickte. Starten des PCs war auch nicht mehr problemlos.

Bin dann nach Deiner Anleitung vorgegangen und hatte bereits große Erfolge damit. Die Toolbar ist weg. IE leitet an die korrekte Link-Adresse weiter. PC-Start funktioniert auch wieder.

Weierhin bestehende Probleme:
Die Symbolleisten / Toolbars lassen sich immer noch nicht wegklicken bzw. aktivieren (Auswahlmöglichkeiten sind grau unterlegt, also inaktiv). Die Frage ist also: Wie könne die von Panda gefundene Malware gelöscht werden?

Hier jetzt die Scan-Protokolle:

Panda:

Ereignis Zustand Standort

Adware:adware/cws Nicht desinfiziert C:\Dokumente und Einstellungen\All Users\Favoriten\Download Free Spyware Remover.url
Spyware:Cookie/Hbmediapro Nicht desinfiziert C:\Dokumente und Einstellungen\Nina\Cookies\nina@adopt.hbmediapro[2].txt
Spyware:Cookie/Atwola Nicht desinfiziert C:\Dokumente und Einstellungen\Nina\Cookies\nina@atwola[1].txt
Spyware:Cookie/Maxserving Nicht desinfiziert C:\Dokumente und Einstellungen\Nina\Cookies\nina@maxserving[2].txt
Spyware:Cookie/RealMedia Nicht desinfiziert C:\Dokumente und Einstellungen\Nina\Cookies\nina@realmedia[1].txt
BitDefender:

C:\ms32.tmp
Infiziert: Trojan.Downloader.Small.ADR

C:\ms32.tmp
Desinfektion fehlgeschlagen

C:\ms32.tmp
Gelöscht

C:\System Volume Information\_restore{46AC3707-C5C5-4597-87BC-28DC34C813FD}\RP1\A0000005.exe
Infiziert: MemScan:Trojan.Small.AA

C:\System Volume Information\_restore{46AC3707-C5C5-4597-87BC-28DC34C813FD}\RP1\A0000005.exe
Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{46AC3707-C5C5-4597-87BC-28DC34C813FD}\RP1\A0000005.exe
Gelöscht

C:\WINDOWS\system32\csudm.exe
Infiziert: Trojan.Downloader.FFZ

C:\WINDOWS\system32\csudm.exe
Desinfektion fehlgeschlagen

C:\WINDOWS\system32\csudm.exe
Gelöscht

Kannst Du etwas damit anfangen?

Gruß Magiix

Der Beitrag wurde von raman bearbeitet: 02.06.2006, 15:22

[Gast_2cool_*]

C:\ms32.tmp Infiziert: Trojan.Downloader.Small.ADR

C:\ms32.tmp Desinfektion fehlgeschlagen

C:\ms32.tmp Gelöscht




C:\System Volume Information\_restore{46AC3707-C5C5-4597-87BC-28DC34C813FD}\RP1\A0000005.exe Infiziert: MemScan:Trojan.Small.AA

C:\System Volume Information\_restore{46AC3707-C5C5-4597-87BC-28DC34C813FD}\RP1\A0000005.exe Desinfektion fehlgeschlagen

C:\System Volume Information\_restore{46AC3707-C5C5-4597-87BC-28DC34C813FD}\RP1\A0000005.exe Gelöscht




C:\WINDOWS\system32\csudm.exe Infiziert: Trojan.Downloader.FFZ

C:\WINDOWS\system32\csudm.exe Desinfektion fehlgeschlagen

C:\WINDOWS\system32\csudm.exe Gelöscht



So ist es ein klein wenig deutlicher

Der Beitrag wurde von 2cool bearbeitet: 02.06.2006, 15:23

[Domino]

Domino

Angehängte Datei(en)

 blubb.html ( 11.17KB ) Anzahl der Downloads: 116

 

[Magiix]

Vielen Dank für die Übersetzung.

Könnt Ihr mir auch sagen, wie ich das beim nächsten mal auch so hinkriege?

[Gast_2cool_*]

Könnt Ihr mir auch sagen, wie ich das beim nächsten mal auch so hinkriege?[right][snapback]152367[/snapback][/right]

Was Du gepostest hast, war HTML. Das kannst Du im Browser betrachten und dann die wichtigen Zeilen per copy n' paste übertragen.



btw: Bei Bitdefender könnte die Ausgabe imho auch etwas übersichtlicher sein. Wenn schon immer drei Zeilen zu einer Datei da sind, dann könnten die auch besser zu erkennen sein.

[Magiix]

Danke!
Bin mal gespannt, ob ich das verstanden hab. Werds beim nächsten mal zumindest ausprobieren.