 Gleicher Trojaner - noch weniger Ahnung |
Willkommen, Gast ( Anmelden | Registrierung )
  |
  08.10.2007, 12:15
Beitrag
#21
|
|
 Gehört zum Inventar  Gruppe: Mitglieder Beiträge: 1.764 Mitglied seit: 31.07.2006 Wohnort: Hamburg Mitglieds-Nr.: 5.175 Betriebssystem: W7 Prof. /Linux div. Virenscanner: F-Secure / Eset Firewall: Router  |
SWH = Systemwiederherstellung
zu ereichen unter: Start Leistung und Wartung linke Symbolleiste: Systemwiederherstellung öffnen und alle Laufwerke deaktivieren, bestätigen, NEUSTART. Wiederholtes Scannen und löschen der Temp.Dateien. Ccleaner sollte helfen. Freeware im Netz. Anschließend wieder Neustart und gesäubert wieder Systemwiederherstellung setzen, sowie einen Systemwiederherstellungspunkt wie in der Anleitung dazu manuell errichten. Dann sollte es erledigt sein. Der Beitrag wurde von Sasser bearbeitet: 08.10.2007, 12:16 -------------------- Sicherheit ist kein Zustand sondern ein stetiger Prozess.
Das Leben ist ein Stirb und Werde. |
 |
 
|
| Gast_rock_* |
08.10.2007, 12:44
Beitrag
#22
|
|
Gäste |
|
|
|
|
|
09.10.2007, 12:59
Beitrag
#23
|
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 3 Mitglied seit: 07.10.2007 Mitglieds-Nr.: 6.484 Betriebssystem: Windows XP Service Pack2 Virenscanner: Ashampoo AntiVirus Firewall: Windows |
hab alles gemacht.
scheint soweit funktioniert zu haben, zumindest zeigt mein scanner nix mehr an ;-) nochmal vielen dank für die hilfe. |
|
|
|
|
11.10.2007, 15:30
Beitrag
#24
|
|
|
Threadersteller Ist neu hier Gruppe: Mitglieder Beiträge: 6 Mitglied seit: 04.10.2007 Mitglieds-Nr.: 6.478 Betriebssystem: Windows XP Version 2002 Virenscanner: AntiVir Firewall: ZoneAlarm |
 juhuu, nach einer woche arbeiten konnte ich mir meinen computer wieder mal anschauen, hab alle systemchecks noch mal durchlaufen lassen, alles bestens!!! Ich glaube Killbox hat's dann im endeffekt getan... hier nur noch mal der logfile von hijackthis (laut internet scan ist alles ok): Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:44:11, on 11.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe C:\Programme\QuickTime\qttask.exe C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe C:\WINDOWS\system32\ctfmon.exe C:\PROGRA~1\MUSICM~1\MUSICM~1\MMDiag.exe C:\Programme\Messenger\msmsgs.exe C:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\RunDll32.exe C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe C:\Programme\Nikon\PictureProject\NkbMonitor.exe C:\Programme\FBM Software\ZeroSpyware\FileDeleter.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Vba32\Vba32Ldr.exe C:\Programme\Vba32\Vba32ADS.exe C:\Programme\Musicmatch\Musicmatch Jukebox\mim.exe C:\Programme\OpenOffice.org 2.2\program\soffice.exe C:\Programme\OpenOffice.org 2.2\program\soffice.BIN C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Su\Desktop\HiJackThis202.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = www.google.at R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.tuwien.ac.at R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.tuwien.ac.at O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Burn4Free Toolbar Helper - {60BF5EE3-0105-4858-AD98-17C19F86B042} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll O3 - Toolbar: Burn4Free Toolbar - {55FAF0F2-44D4-425F-B5F5-6B275B621EAB} - C:\Programme\Burn4Free Toolbar\v3.2.0.0\Burn4Free_Toolbar.dll O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programme\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [MimBoot] C:\PROGRA~1\MUSICM~1\MUSICM~1\mimboot.exe O4 - HKLM\..\Run: [MMTray] "C:\Programme\Musicmatch\Musicmatch Jukebox\mm_tray.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Vba32 Antidialer] "C:\Programme\Vba32\Vba32ADS.exe" -r O4 - HKLM\..\Run: [Vba32Loader] C:\Programme\Vba32\Vba32Ldr.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [ZSScheduler] RunDll32.exe "C:\Programme\FBM Software\ZeroSpyware\ZSScheduler.dll", runScheduler C:\Programme\FBM Software\ZeroSpyware\ O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: OpenOffice.org 2.0.lnk = C:\Programme\OpenOffice.org 2.0\program\quickstart.exe O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll O10 - Unknown file in Winsock LSP: c:\windows\system32\dllhook.dll O14 - IERESET.INF: START_PAGE_URL=www.tuwien.ac.at O17 - HKLM\System\CCS\Services\Tcpip\..\{AE5E6545-FBF1-4B98-BF0C-CD470D059F3B}: NameServer = 195.34.133.21,195.34.133.22 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: ZeroSpyware FileDeleter (FileDeleter) - FBMSoftware - C:\Programme\FBM Software\ZeroSpyware\FileDeleter.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Vba32 Antidialer (Vba32AD) - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ADS.exe O23 - Service: Vba32ECM - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ldr.exe O23 - Service: Vba32ifs - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ldr.exe O23 - Service: Vba32 Loader Service (Vba32Ldr) - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32Ldr.exe O23 - Service: Vba32PP3 - VirusBlokAda Ltd. - C:\Programme\Vba32\Vba32ldr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe -- End of file - 6873 bytes Danke für alles, ihr seid die besten  Su |
|
|
|
|
17.10.2007, 15:19
Beitrag
#25
|
|
|
Ist neu hier Gruppe: Mitglieder Beiträge: 1 Mitglied seit: 17.10.2007 Mitglieds-Nr.: 6.513 Betriebssystem: XP Virenscanner: AntiVir Firewall: Kerio |
Hi,
ich hab denselben Trojaner, kriege ihn aber mit Killboox nicht gelöscht was mache ich falsch? Ich habe alles so gemacht wie ihrs beschrieben habt. Aber jedesmal wenn ich wieder neu hochfahre, ist der Troj. wieder da :-( Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 16:15:53, on 17.10.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe E:\Programme\AntiVir PersonalEdition Classic\sched.exe E:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe C:\WINDOWS\system32\slserv.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\Synaptics\SynTP\SynTPLpr.exe C:\Programme\Synaptics\SynTP\SynTPEnh.exe E:\Programme\ICQLite\ICQLite.exe E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\VIAudioi\SBADeck\ADeck.exe C:\WINDOWS\system32\ctfmon.exe E:\Programme\Spybot - Search & Destroy\TeaTimer.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\System32\alg.exe C:\Programme\Sunbelt Software\Personal Firewall\kpf4gui.exe C:\Programme\Mozilla Firefox\firefox.exe E:\Programme\Trend Micro\HijackThis\HijackThis.exe C:\WINDOWS\system32\wbem\wmiprvse.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.web.de/ F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\Programme\MegauploadToolbar\megauploadtoolbar.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ICQ Lite] "e:\Programme\ICQLite\ICQLite.exe" -minimize O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [AudioDeck] C:\Programme\VIAudioi\SBADeck\ADeck.exe 1 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] e:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: &ICQ Toolbar Search - res://E:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0\bin\npjpi150.dll O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - e:\Programme\PartyGaming\PartyPoker\RunApp.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - e:\Programme\ICQLite\ICQLite.exe O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - e:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{45E3D14A-C61B-4312-B42F-A18B069A626E}: NameServer = 192.168.2.1,192.168.2.111 O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe O23 - Service: Sunbelt Kerio Personal Firewall 4 (KPF4) - Sunbelt Software - C:\Programme\Sunbelt Software\Personal Firewall\kpf4ss.exe O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe -- End of file - 6368 bytes Der Beitrag wurde von deni bearbeitet: 17.10.2007, 15:21 |
|
|
|
| Gast_rock_* |
17.10.2007, 16:43
Beitrag
#26
|
|
Gäste |
wo wird bei dir konkret was gemeldet?
Wiederholung: http://www.rokop-security.de/index.php?sho...mp;#entry216097 SWH ausschalten - neustart in den abgesicherten modus: fixen : F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe, O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) nochmal mit deinem scanner scannen/funde löschen. neustart. onlinescanner verwenden um schauen ob alles passt! SWH erst wieder einschalten wenn keine probleme mehr.  |
|
|
|
|
17.10.2007, 17:43
Beitrag
#27
|
|
|
Kennt sich hier aus Gruppe: Mitglieder Beiträge: 155 Mitglied seit: 01.07.2005 Mitglieds-Nr.: 3.124 Virenscanner: wozu ? Firewall: router |
Hallo,
ntos exe ist eigentlich eien Systemdatei ....aber niemals nicht in diesem Ordner bzw Pfad !! a hätte einmal googeln genügt,rock...  Mit löschen bzw.fixen hältst du dir nur die Augen zu und hoffst das daß Auto das auf dich zurast verschwindet.... Das hier lesen :http://www.sophos.de/security/analyses/trojdloadrawq.html und dann danach handeln :http://www.trojaner-board.de/12154-anleitung-neuaufsetzen-des-systems-und-anschliessende-absicherung.html Zausel Der Beitrag wurde von zausel bearbeitet: 17.10.2007, 17:43 |
|
|
|
|
1 Besucher lesen dieses Thema (Gäste: 1 | Anonyme Besucher: 0)
0 Mitglieder:
| Vereinfachte Darstellung | Aktuelles Datum: 28.05.2024, 02:38 |
Original Style by Bo Derek, further improvements and board management by Style Biz | Webdevelopment