07.08.2008, 14:07
| # 1 |
| Registriert seit: 07.08.2008
Beiträge: 2
| Hallo ihr lieben , habe wie oben beschrieben den tollen trojaner auf meinem rechner und würde euch um rat bitten wie ich diesen wieder wegbekomme. Ich schicke euch den Hijackthis report : Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14.05, on 07.08.2008 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16674) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe E:\Avast_antivir\aswUpdSv.exe C:\WINDOWS\Explorer.EXE E:\Avast_antivir\ashServ.exe C:\WINDOWS\system32\spoolsv.exe C:\ATI-CPanel\atiptaxx.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\QuickTime\qttask.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\MSN Messenger\msnmsgr.exe C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe C:\Programme\IEEE 802.11g Wireless LAN Utility\wlanIG.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe C:\WINDOWS\System32\svchost.exe E:\Avast_antivir\ashMaiSv.exe E:\Avast_antivir\ashWebSv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Programme\SlimBrowser\sbrowser.exe C:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: (no name) - {9437C997-89E6-4B84-A745-BEFD3A910FF5} - (no file) O4 - HKLM\..\Run: [ATIPTA] C:\ATI-CPanel\atiptaxx.exe O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [08aa802b] rundll32.exe "C:\WINDOWS\system32\mwodowdd.dll",b O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleTo olbarNotifier.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Global Startup: IEEE 802.11g Wireless LAN Utility.lnk = ? O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\pesmerga\Desktop\ICQ6\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\pesmerga\Desktop\ICQ6\ICQ.exe (file missing) O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary...r.cab31267.cab O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary...n.cab56986.cab O16 - DPF: {5D6F45B3-9043-443D-A792-115447494D24} (UnoCtrl Class) - http://messenger.zone.msn.com/DE-DE/.../GAME_UNO1.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://download.divx.com/player/DivXBrowserPlugin.cab O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1151007528999 O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab31267.cab O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab56649.cab O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/ge...sh/swflash.cab O16 - DPF: {D4323BF2-006A-4440-A2F5-27E3E7AB25F8} (Virtools WebPlayer Class) - http://a532.g.akamai.net/f/532/6712/.../installer.exe O21 - SSODL: fdxbameg - {B16A3D92-DD8C-4537-BF62-143208ABBC89} - (no file) O21 - SSODL: fsrpknov - {6F7E4242-2880-4ADE-A8F7-2C4E559B9698} - (no file) O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - E:\Avast_antivir\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - E:\Avast_antivir\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - E:\Avast_antivir\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - E:\Avast_antivir\ashWebSv.exe O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1050\Intel 32\IDriverT.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\Programme\Symantec\LiveUpdate\LuComServer_3_4.E XE -- End of file - 8129 bytes bitte helft mir  |
 |
|
07.08.2008, 19:14
| # 2 |
| Hausmeister im Virtuellen  Registriert seit: 28.12.2006
Beiträge: 2.952
| Hi, Woher weißt Du, daß Du den Trojaner auf dem Rechner hast? Ich vermute von Deinem Antivirenprogramm  Was hat das noch gemeldet? Daß es die Dateien gelöscht oder in die Quarantäne verschoben hat... Dann sollte er nicht mehr laufen und von Avast oder Antivir (welchen Virenscanner hast Du eigentlich drauf? Zwei Virenscanner gleichzeitig können massive Probleme verursachen!!) entfernt worden sein. Wie kommst Du also drauf, daß er noch da sein könnte? Folgende Einträge kannst Du vom Hijackthis löschen lassen: O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file) O3 - Toolbar: (no name) - {9437C997-89E6-4B84-A745-BEFD3A910FF5} - (no file) O4 - HKLM\..\Run: [08aa802b] rundll32.exe "C:\WINDOWS\system32\mwodowdd.dll",b O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\pesmerga\Desktop\ICQ6\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Dokumente und Einstellungen\pesmerga\Desktop\ICQ6\ICQ.exe (file missing) O21 - SSODL: fdxbameg - {B16A3D92-DD8C-4537-BF62-143208ABBC89} - (no file) O21 - SSODL: fsrpknov - {6F7E4242-2880-4ADE-A8F7-2C4E559B9698} - (no file) Es gibt sicher noch weitere, aber wir sind ja hier jetzt nicht im Aufräumwahn  Grüße Grunzer Nachtrag: Das Teil heißt übrigens nicht: TR/Crypt.XPAK.Gen Sondern: TR/Crypt.XPACK.Gen Erleichtert einem das Suchen ganz massiv...
__________________ Lieber eine unsichere Freiheit als eine sichere Diktatur ! |
| |
|
07.08.2008, 22:24
| # 3 |
| Threadstarter Registriert seit: 07.08.2008
Beiträge: 2
| ja mein Antivirusprogramm hat den trojaner entdeckt. Habe Avast heruntergehauen. Woher ich weeiss das ich den noch drauf habe?` Weil wenn ich für 10 minuten nicht am rechner bin 16 Sicherheitswarhnungen kommenmit folgendem TR/Crypt.XPACK.Gen in folgender datei gefunden: C:\windows\system32\rpngkxvs.dll und ein zweiter auf C:\windows\system32\opnnmICt.dll Mein Antivir. kann diese datei nicht löschen und macht auch nichts automatisch, ich habe diese in die Quarantaineordner gesteckt. Habe die folgenden Dateien von Hijackthis entfernen lassen. Kommt aber leider trotzdem. |
| |
|
08.08.2008, 06:18
| # 4 |
| Gastposter | Hallo Pessi85, probier es mal so: 1. CCleaner runterladen und installieren. 2. Spybot S&D runterladen und installieren. Bei der Installation den TeaTimer deaktivieren. 3. Systemwiederherstellung deaktivieren. 4. CCleaner starten. Unter "Cleaner" -> Tab Windows, alles markieren außer "Erweitert". - Hier nur "alte Prefetch-Daten" markieren. Tab Anwendungen, alles markieren außer Windows. Danach unten rechts auf "Starte Cleaner" klicken. 5. PC neu starten im abgesicherten Modus (F8 ) 6. Spybot S&D starten und alles löschen was gefunden wird. 7. Kompletten Scan mit AntiVir durchführen und alles löschen, was gefunden wird. |
| |
28.05.2012, 07:55
| # -- |
| News Flash  | Das könnte Dich auch noch interessieren:
Nicht fündig geworden? Dann ohne Anmeldung in unserem Gast-Forum nachfragen. |
