Trojaner, Viren?

Diskutiere Trojaner, Viren? im Viren, Würmer, Spyware Forum im Bereich Computerprobleme; hallo liebes Forum, ich habe einige Probleme mit Viren oder Trojaner oder beidem....so genau weiss ich es auch nicht weil ich jetzt nicht sooo...

  1. Leve

    Leve Neuer Benutzer

    Dabei seit:
    07.04.2008
    Beiträge:
    18
    Zustimmungen:
    0
    hallo liebes Forum,

    ich habe einige Probleme mit Viren oder Trojaner oder beidem....so genau weiss ich es auch nicht weil ich jetzt nicht sooo der Fachmann in Sachen PC bin. :D
    Also ich habe windows xp und als Virenschutz AntiVir, und Antivir sagt mir halt mehrmals täglich (egal ob online oder nicht) dass Trojanische Pferde, Viren o.a. gefunden wurden. Ich mache dann immer "löschen" aber ist das normal dass es so oft am tag anzeigt? ?(
    Wenn ich den PC starte wird auch immer so eine komische Fehlermeldung angezeigt dass das System beschädigt ist, geht aber trotzdem an (kann ich die morgen mal posten), und ich habe auch das Gefühl als ob mein PC "nicht ganz tickt". Und wenn ich irgendwas downloade und installiere ist es komischerweise Tage später wieder weg, fängt bei Mozilla-Einstellungen an und geht über msn usw.
    Habe hier gelesen dass man ein hijackthis machen sollte, habe ich also gemacht:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 23:52:03, on 06.04.2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\WINDOWS\System32\dllcache\wintcps.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\iPod.exe
    C:\WINDOWS\System32\igfsfdfsd3sda2ss.exe
    C:\WINDOWS\System32\igfsfdfsd32.exe
    C:\WINDOWS\System32\Gothic.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\windowsdefender.exe
    C:\WINDOWS\System32\soutoco.exe
    C:\WINDOWS\System32\CTFMON.EXE
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
    C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
    C:\Programme\SpacialAudio\SAMBC\SAMBC.exe
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Windows has Layer] fixweb.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe
    O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [MicroSoft Visual SP2] igfsfdfsd32.exe
    O4 - HKLM\..\Run: [kiss] C:\WINDOWS\TEMP\RarSFX3\S.exe
    O4 - HKLM\..\Run: [Windows Defender] windowsdefender.exe
    O4 - HKLM\..\Run: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKLM\..\Run: [Windows Insecure] Clock.exe
    O4 - HKLM\..\Run: [Microsoft Winedows updete] soutoco.exe
    O4 - HKLM\..\Run: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe
    O4 - HKLM\..\RunServices: [Windows has Layer] fixweb.exe
    O4 - HKLM\..\RunServices: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe
    O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
    O4 - HKLM\..\RunServices: [MicroSoft Visual SP2] igfsfdfsd32.exe
    O4 - HKLM\..\RunServices: [Windows Defender] windowsdefender.exe
    O4 - HKLM\..\RunServices: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKLM\..\RunServices: [Windows Insecure] Clock.exe
    O4 - HKLM\..\RunServices: [Microsoft Winedows updete] soutoco.exe
    O4 - HKLM\..\RunServices: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe
    O4 - HKLM\..\RunOnce: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKLM\..\RunOnce: [Windows Insecure] Clock.exe
    O4 - HKLM\..\RunOnce: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe
    O4 - HKLM\..\RunOnce: [MicroSoft Visual SP2] igfsfdfsd32.exe
    O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKCU\..\Run: [Windows Insecure] Clock.exe
    O4 - HKCU\..\Run: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe
    O4 - HKCU\..\Run: [MicroSoft Visual SP2] igfsfdfsd32.exe
    O4 - HKCU\..\Run: [HOT FIX] Gothic.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Microsoft Winedows updete] soutoco.exe
    O4 - HKCU\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKCU\..\RunOnce: [MicroSoft Visual SP2] igfsfdfsd32.exe
    O4 - HKCU\..\RunOnce: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKCU\..\RunOnce: [Windows Insecure] Clock.exe
    O4 - HKCU\..\RunOnce: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe
    O4 - HKCU\..\RunOnce: [MPlayer2_FixUp] C:\WINDOWS\inf\unregmp2.exe /Fixups
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1003\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1003\..\Run: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1003\..\Run: [MicroSoft Visual SP2] igfsfdfsd32.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1003\..\Run: [HOT FIX] Gothic.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1003\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1003\..\Run: [Microsoft Winedows updete] soutoco.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1003\..\RunOnce: [HOT FIX] Gothic.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Windows has Layer] fixweb.exe (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Windows has Layer] fixweb.exe (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
    O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe
    O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)


    Vielleicht könnt ihr mir helfen???
     
  2. Anzeige

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 ReinMan, 07.04.2008
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    C:\WINDOWS\System32\Gothic.exe

    Unbekannt
    C:\WINDOWS\System32\igfsfdfsd32.exe

    C:\WINDOWS\System32\igfsfdfsd3sda2ss.exe

    C:\WINDOWS\System32\dllcache\wintcps.exe

    O4 - HKLM\..\Run: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe

    O4 - HKLM\..\Run: [Windows Insecure] Clock.exe

    O4 - HKLM\..\RunServices: [Windows Insecure] Clock.exe

    O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe

    O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe

    O4 - HKUS\.DEFAULT\..\RunOnce: [Windows has Layer] fixweb.exe (User 'Default user')

    Bei fast allen Programmen die du hast zeigt mir Hijackthis "unbekanntes Programm" an. Es kommen auch mehrmals die selben vor. Du markierst die Einträge im Logfile und gehst auf "Fix check". Danach startest du dein System neu und postest uns ein neues Logfile ins Forum.

    Dann scannst du mal mit Spybot und Adaware. Updatest diese bevor du scannst.

    http://www.chip.de/downloads/SpyBot-Search-Destroy-1.5.2.20_13001443.html

    http://www.chip.de/downloads/Ad-aware-2007_13000824.html

    Dann machst du mit Ewido einen "Speicher-Scan" "Registry-Scan" und einen "Kompletten System-Scan" auch das updatest du bevor du scannst.

    http://avg-anti-spyware.softonic.de/
     
  4. Leve

    Leve Neuer Benutzer

    Dabei seit:
    07.04.2008
    Beiträge:
    18
    Zustimmungen:
    0
    danke, ich werde das nachher gleich so versuchen. Übrigens beim Starten des PCs erscheint das:
    Das Profil konnte nicht geladen werden, weil es möglicherweise beschädigt ist. Wenden Sie sich an den Administrator.

    Darum sind wohl auch jedesmal beim Neustart meine Downloads, Installationen usw. weg? ?(
     
  5. #4 Humdinger, 07.04.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
  6. Leve

    Leve Neuer Benutzer

    Dabei seit:
    07.04.2008
    Beiträge:
    18
    Zustimmungen:
    0
    habe ich gemacht, hier ist des neue logfile:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 10:34:50, on 07.04.2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
    C:\WINDOWS\System32\dllcache\wintcps.exe
    C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\iPod.exe
    C:\WINDOWS\System32\msiexec.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\windowsdefender.exe
    C:\WINDOWS\System32\soutoco.exe
    C:\WINDOWS\System32\CTFMON.EXE
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\system32\cmd.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe
    C:\WINDOWS\system32\Clock.exe

    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Windows has Layer] fixweb.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [kiss] C:\WINDOWS\TEMP\RarSFX3\S.exe
    O4 - HKLM\..\Run: [Windows Defender] windowsdefender.exe
    O4 - HKLM\..\Run: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKLM\..\Run: [Microsoft Winedows updete] soutoco.exe
    O4 - HKLM\..\RunServices: [Windows has Layer] fixweb.exe
    O4 - HKLM\..\RunServices: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe
    O4 - HKLM\..\RunServices: [Windows Defender] windowsdefender.exe
    O4 - HKLM\..\RunServices: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKLM\..\RunServices: [Microsoft Winedows updete] soutoco.exe
    O4 - HKLM\..\RunOnce: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Microsoft Winedows updete] soutoco.exe
    O4 - HKCU\..\RunOnce: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [Microsoft Winedows updete] soutoco.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\RunOnce: [Microsoft Winedows WinServ] iPod.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [Microsoft Winedows updete] soutoco.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe (User '?')
    O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
    O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe
    O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)

    --
    End of file - 5226 bytes


    Jetzt ziehe ich mir erstmal spybot usw. und mache das. Neues Benutzerkonto habe ich auch erstellt.
     
  7. #6 Humdinger, 07.04.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    spybot , aber ohne teatimer installieren

    WindowsScan laden,
    ausführen, Report posten
     
  8. #7 Humdinger, 07.04.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    und

    C:\WINDOWS\System32\windowsdefender.exe

    Diese Datei/Dateien hier scannen lassen:
    VIRUSTOTAL
    Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - und hier vollständig posten
     
  9. Leve

    Leve Neuer Benutzer

    Dabei seit:
    07.04.2008
    Beiträge:
    18
    Zustimmungen:
    0
    toll...habe es längst installiert, mit teatimer. ist das jetzt schlimm? ?(
     
  10. #9 Humdinger, 07.04.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Spybot Teatimer bitte dann dauerhaft abstellen (Erweitert -> Werkzeuge -> Resident --> Häkchen bei Teatimer entfernen -> PC Neustart).

    poste Windowsscan, Virustotal scan und einen neuen HijackThis log
     
  11. Leve

    Leve Neuer Benutzer

    Dabei seit:
    07.04.2008
    Beiträge:
    18
    Zustimmungen:
    0
    Virustotal:


    Die Datei wurde bereits analysiert:
    MD5: f079d0ccaddc2eab2ada5e970a19e77e
    Datum 2008.04.02 03:16:48 (CET) [>5D]
    Ergebnisse 18/31
    Permalink: analisis/cd295317ee157a2527db1ed6577890ee


    Windowsscan:

    Die 30 neuesten Dateien im Ordner Windows:

    ***** ***** ***** ***** *****
    ***** Scanning C:\WINDOWS *****
    ***** ***** ***** ***** *****

    07.04.2008 OEWABLog.txt 10 34:6.683
    07.04.2008 0.log 10 33:0
    07.04.2008 bootstat.dat 10 33:2.048
    07.04.2008 SchedLgU.Txt 10 32:32.588
    07.04.2008 wiaservc.log 01 51:50
    07.04.2008 wiadebug.log 01 51:216
    06.04.2008 wmsetup.log 22 08:24.495
    06.04.2008 WMSysPr9.prx 22 08:316.640
    03.04.2008 setupact.log 14 22:172.162
    31.03.2008 cdplayer.ini 19 20:1.157
    Update.log 30.03.2008 Windows 17 07:5.418
    30.03.2008 setupapi.log 17 06:218.717
    26.03.2008 uninstyler.exe 20 28:50.176
    13.03.2008 mozver.dat 13 16:1.142
    13.03.2008 nsreg.dat 12 54:0
    13.03.2008 setuplog.txt 11 26:748.956
    13.03.2008 REGLOCS.OLD 11 24:8.192
    13.03.2008 iis6.log 11 22:47.476
    13.03.2008 ntdtcsetup.log 11 22:7.774
    13.03.2008 comsetup.log 11 22:15.895
    13.03.2008 tsoc.log 11 22:10.175
    13.03.2008 imsins.log 11 22:4.382
    13.03.2008 setuperr.log 11 21:1.246
    13.03.2008 control.ini 11 18:0
    13.03.2008 win.ini 11 18:504
    13.03.2008 WMSysPrx.prx 11 18:299.552
    13.03.2008 ODBCINST.INI 11 18:4.161


    Die 50 neuesten Dateien im Ordner Windows\system32:

    ***** ***** ***** ***** *****
    ***** Scanning C:\WINDOWS\system32 *****
    ***** ***** ***** ***** *****

    07.04.2008 Clock.exe 10 34:987.136
    07.04.2008 wmpscheme.xml 10 34:25.065
    06.04.2008 BASSMOD.dll 22 12:34.308
    06.04.2008 Gothic.exe 17 11:1.130.496
    05.04.2008 DCCx.pif 20 33:715.718
    05.04.2008 DCClogooff.pif 18 42:715.718
    05.04.2008 ertrtvw.com 16 07:741.824
    05.04.2008 hgftrer.pif 15 42:785.573
    05.04.2008 klklkl.pif 13 06:785.573
    05.04.2008 klklkl.exe 13 06:785.573
    05.04.2008 sdfdsf.exe 12 54:785.573
    04.04.2008 go.exe 20 36:1.860
    04.04.2008 dgdfsgdfg.exe 14 39:785.038
    04.04.2008 dgdfsgdfg.pif 14 39:785.038
    04.04.2008 rtetfds.com 14 35:785.038
    03.04.2008 igfsfdfsd32.exe 12 43:1.163.264
    03.04.2008 uninstall.uni 06 43:584
    03.04.2008 n.exe 06 37:951.895
    03.04.2008 ddd.exe 06 34:1.103.600
    02.04.2008 i.exe 15 27:701.805
    02.04.2008 igfsfdfsd3sda2ss.exe 06 56:1.163.264
    01.04.2008 perfh009.dat 05 43:311.740
    01.04.2008 perfc009.dat 05 43:40.128
    01.04.2008 perfh007.dat 05 43:316.924
    01.04.2008 perfc007.dat 05 43:48.354
    01.04.2008 PerfStringBackup.INI 05 43:723.744
    30.03.2008 FNTCACHE.DAT 09 51:91.088
    29.03.2008 DCCON.pif 22 33:715.718
    29.03.2008 nn.exe 08 40:951.895
    29.03.2008 redow.exe 01 54:302.868
    28.03.2008 vnwcmm.exe 12 06:1.380.560
    28.03.2008 btsvc.inf 09 28:81
    27.03.2008 efsdfd.exe 23 12:795.064
    27.03.2008 c.exe 14 23:749.911
    27.03.2008 tt.pif 13 48:749.770
    26.03.2008 fdgdfgf.pif 22 53:785.371
    26.03.2008 mxmx.exe 19 19:821.309
    26.03.2008 jhjh.exe 18 12:821.309
    26.03.2008 nwcm.exe 14 08:821.309
    26.03.2008 vnwcm.exe 13 31:1.380.560
    26.03.2008 tt.exe 12 29:749.770
    26.03.2008 cuonfg.ocx 10 31:20.838
    26.03.2008 curss.ocx 10 21:29.776
    25.03.2008 qtr.pif 18 46:795.248
    25.03.2008 nwc.exe 12 00:821.309
    25.03.2008 netload.tff 10 35:84
    25.03.2008 Beclick.dll 06 18:10.240


    ***** ***** ***** ***** *****
    ***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
    ***** ***** ***** ***** *****

    # Copyright (c) 1993-1999 Microsoft Corp.
    #
    # Dies ist eine HOSTS-Beispieldatei, die von Microsoft TCP/IP
    # für Windows 2000 verwendet wird.
    #
    # Diese Datei enthält die Zuordnungen der IP-Adressen zu Hostnamen.
    # Jeder Eintrag muss in einer eigenen Zeile stehen. Die IP-
    # Adresse sollte in der ersten Spalte gefolgt vom zugehörigen
    # Hostnamen stehen.
    # Die IP-Adresse und der Hostname müssen durch mindestens ein
    # Leerzeichen getrennt sein.
    #
    # Zusätzliche Kommentare (so wie in dieser Datei) können in
    # einzelnen Zeilen oder hinter dem Computernamen eingefügt werden,
    # aber müssen mit dem Zeichen '#' eingegeben werden.
    #
    # Zum Beispiel:
    #
    # 102.54.94.97 rhino.acme.com # Quellserver
    # 38.25.63.10 x.acme.com # x-Clienthost

    127.0.0.1 localhost



    ***** ***** ***** ***** *****
    ***** Scanning Processe *****
    ***** ***** ***** ***** *****




    Microsoft Windows XP [Version 5.1.2600]


    http://www.paules-pc-forum.de
    ***** Malware Team *****


    ***** Ende des Scans 07.04.2008 um 11:02:39,26 ***


    HijackThis:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:04:00, on 07.04.2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
    C:\WINDOWS\System32\dllcache\wintcps.exe
    C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
    C:\WINDOWS\Explorer.EXE
    C:\WINDOWS\System32\iPod.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\WINDOWS\System32\windowsdefender.exe
    C:\WINDOWS\System32\soutoco.exe
    C:\WINDOWS\System32\CTFMON.EXE
    C:\Programme\Messenger\msmsgs.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\notepad.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [Windows has Layer] fixweb.exe
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [kiss] C:\WINDOWS\TEMP\RarSFX3\S.exe
    O4 - HKLM\..\Run: [Windows Defender] windowsdefender.exe
    O4 - HKLM\..\Run: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKLM\..\Run: [Microsoft Winedows updete] soutoco.exe
    O4 - HKLM\..\Run: [Windows Insecure] Clock.exe
    O4 - HKLM\..\RunServices: [Windows has Layer] fixweb.exe
    O4 - HKLM\..\RunServices: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe
    O4 - HKLM\..\RunServices: [Windows Defender] windowsdefender.exe
    O4 - HKLM\..\RunServices: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKLM\..\RunServices: [Microsoft Winedows updete] soutoco.exe
    O4 - HKLM\..\RunServices: [Windows Insecure] Clock.exe
    O4 - HKLM\..\RunOnce: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKLM\..\RunOnce: [Windows Insecure] Clock.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Microsoft Winedows updete] soutoco.exe
    O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
    O4 - HKCU\..\RunOnce: [Microsoft Winedows WinServ] iPod.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [Microsoft Winedows updete] soutoco.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\RunOnce: [Microsoft Winedows WinServ] iPod.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe (User '?')
    O4 - HKUS\S-1-5-18\..\RunOnce: [HOT FIX] Gothic.exe (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
    O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe
    O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)

    --
    End of file - 6294 bytes
     
  12. #11 Humdinger, 07.04.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Hallo

    Das ist System ist schwerst infiziert. Versuche so eine Bereinigung (oder formatiere) :


    öffne das HijackThis -- Button "scan" -- vor diese Einträge ein Häkchen[/B] setzen -- Button "Fix checked" -- PC neustarten

    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe (User '?')
    O4 - HKLM\..\Run: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe
    O4 - HKLM\..\Run: [Windows Defender] windowsdefender.exe
    O4 - HKLM\..\Run: [Microsoft Winedows updete] soutoco.exe
    O4 - HKLM\..\RunServices: [Windows has Layer] fixweb.exe
    O4 - HKLM\..\RunServices: [windowsupdate] C:\WINDOWS\System32\windowsupdate.exe
    O4 - HKLM\..\RunServices: [Windows Defender] windowsdefender.exe
    O4 - HKLM\..\RunServices: [Microsoft Winedows updete] soutoco.exe
    O4 - HKCU\..\Run: [Microsoft Winedows updete] soutoco.exe
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [Microsoft Winedows updete] soutoco.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\RunOnce: [Microsoft Winedows WinServ] iPod.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [Microsoft Winedows updete] soutoco.exe (User '?')
    O4 - HKUS\.DEFAULT\..\RunOnce: [HOT FIX] Gothic.exe (User 'Default user')


    AVENGER
    laden und so ausführen:

    kopiere so rein:

    Files to delete:
    C:\WINDOWS\System32\windowsdefender.exe
    C:\WINDOWS\System32\dllcache\wintcps.exe
    C:\WINDOWS\system32\ertrtvw.com
    C:\WINDOWS\system32\hgftrer.pif
    C:\WINDOWS\system32\klklkl.pif
    C:\WINDOWS\system32\klklkl.exe
    C:\WINDOWS\system32\sdfdsf.exe
    C:\WINDOWS\system32\dgdfsgdfg.exe
    C:\WINDOWS\system32\dgdfsgdfg.pif
    C:\WINDOWS\system32\rtetfds.com
    C:\WINDOWS\system32\igfsfdfsd32.exe
    C:\WINDOWS\system32\n.exe
    C:\WINDOWS\system32\ddd.exe
    C:\WINDOWS\system32\i.exe
    C:\WINDOWS\system32\igfsfdfsd3sda2ss.exe
    C:\WINDOWS\system32\redow.exe
    C:\WINDOWS\system32\vnwcmm.exe
    C:\WINDOWS\system32\efsdfd.exe
    C:\WINDOWS\system32\c.exe
    C:\WINDOWS\system32\fdgdfgf.pif
    C:\WINDOWS\system32\jhjh.exe
    C:\WINDOWS\system32\nwcm.exe
    C:\WINDOWS\system32\vnwcm.exe
    C:\WINDOWS\system32\tt.exe
    C:\WINDOWS\system32\nwc.exe

    Klicke die grüne Ampel
    das Script wird nun ausgeführt, dann wird der PC automatisch neustarten

    **
    nach dem Neustart wird ein Log vom AVENGER erscheinen - poste es hier

    C:\avenger\backup.zip <-- nun direkt löschen

    CCLEANER ausführen

    Kaspersky - Virus Removal Tool anwenden im abgesicherten Modus (bei Neustart F8 drücken)
    Alle Funde löschen. Report posten nach Neustart

    Neuen HijackThis log erstellen und posten. Dann gehts weiter!
     
  13. Leve

    Leve Neuer Benutzer

    Dabei seit:
    07.04.2008
    Beiträge:
    18
    Zustimmungen:
    0
    oha da habe ich ja noch einiges zu tun. Ich hoffe ich bekomme das alles so hin. ;( Leider muss ich jetzt zur Arbeit und bin erst heute gegen 23 Uhr wieder da. Dann werde ich es mal so durchführen.
     
  14. #13 Humdinger, 07.04.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Bei dem Wetter würde ich mir das überlegen :D

    Na dann viel Erfolg. Und falls du doch formatieren willst, denke dran wenn das System sauber ist, dann müssen alle Passwörter geändert werden. Ansonsten bitte erstmal hier im Forum die Bereinigung zu Ende bringen.
     
  15. Leve

    Leve Neuer Benutzer

    Dabei seit:
    07.04.2008
    Beiträge:
    18
    Zustimmungen:
    0
    ok habe die ersten Schritte gemacht. hier schonmal der Avenger logfile:

    Logfile of The Avenger Version 2.0, (c) by Swandog46
    http://swandog46.geekstogo.com

    Platform: Windows XP

    *******************

    Script file opened successfully.
    Script file read successfully.

    Backups directory opened successfully at C:\Avenger

    *******************

    Beginning to process script file:

    Rootkit scan active.
    No rootkits found!

    File "C:\WINDOWS\System32\windowsdefender.exe" deleted successfully.
    File "C:\WINDOWS\System32\dllcache\wintcps.exe" deleted successfully.
    File "C:\WINDOWS\system32\ertrtvw.com" deleted successfully.
    File "C:\WINDOWS\system32\hgftrer.pif" deleted successfully.
    File "C:\WINDOWS\system32\klklkl.pif" deleted successfully.
    File "C:\WINDOWS\system32\klklkl.exe" deleted successfully.
    File "C:\WINDOWS\system32\sdfdsf.exe" deleted successfully.
    File "C:\WINDOWS\system32\dgdfsgdfg.exe" deleted successfully.
    File "C:\WINDOWS\system32\dgdfsgdfg.pif" deleted successfully.
    File "C:\WINDOWS\system32\rtetfds.com" deleted successfully.

    Error: file "C:\WINDOWS\system32\igfsfdfsd32.exe" not found!
    Deletion of file "C:\WINDOWS\system32\igfsfdfsd32.exe" failed!
    Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
    --> the object does not exist

    File "C:\WINDOWS\system32\n.exe" deleted successfully.
    File "C:\WINDOWS\system32\ddd.exe" deleted successfully.
    File "C:\WINDOWS\system32\i.exe" deleted successfully.
    File "C:\WINDOWS\system32\igfsfdfsd3sda2ss.exe" deleted successfully.
    File "C:\WINDOWS\system32\redow.exe" deleted successfully.
    File "C:\WINDOWS\system32\vnwcmm.exe" deleted successfully.
    File "C:\WINDOWS\system32\efsdfd.exe" deleted successfully.
    File "C:\WINDOWS\system32\c.exe" deleted successfully.
    File "C:\WINDOWS\system32\fdgdfgf.pif" deleted successfully.
    File "C:\WINDOWS\system32\jhjh.exe" deleted successfully.
    File "C:\WINDOWS\system32\nwcm.exe" deleted successfully.
    File "C:\WINDOWS\system32\vnwcm.exe" deleted successfully.
    File "C:\WINDOWS\system32\tt.exe" deleted successfully.
    File "C:\WINDOWS\system32\nwc.exe" deleted successfully.

    Completed script processing.

    *******************

    Finished! Terminate.
     
  16. Leve

    Leve Neuer Benutzer

    Dabei seit:
    07.04.2008
    Beiträge:
    18
    Zustimmungen:
    0
    Kaspersky:

    deleted: virus Net-Worm.Win32.Kolab.hd File: c:\windows\system32\gothic.exe
    deleted: virus Net-Worm.Win32.Kolab.gb File: c:\windows\system32\ipod.exe
    deleted: Trojan program Backdoor.Win32.Rbot.eyt File: c:\windows\system32\soutoco.exe
    deleted: Trojan program Backdoor.Win32.IRCBot.gen File: C:\wetkhas.exe//Expressor
    deleted: Trojan program Backdoor.IRC.Zapchast File: C:\WINDOWS\system32\bertetw.com//data.rar/aliases.ini
    deleted: Trojan program Trojan.Win32.Runner.x File: C:\WINDOWS\system32\bertetw.com//data.rar/S.exe//PE_Patch.UPX//UPX
    deleted: Trojan program Trojan.BAT.Starter.o File: C:\WINDOWS\system32\bin.com//data.rar/nope.bat
    deleted: Trojan program Backdoor.Win32.IRCBot.bpm File: C:\WINDOWS\system32\bin.com//data.rar/nope.dll
    deleted: Trojan program Backdoor.IRC.Zapchast File: C:\WINDOWS\system32\dsfsdfs.com//data.rar/aliases.ini
    deleted: Trojan program Trojan.Win32.Runner.x File: C:\WINDOWS\system32\dsfsdfs.com//data.rar/special.exe//PE_Patch.UPX//UPX
    deleted: Trojan program Trojan.Win32.Runner.x File: C:\WINDOWS\system32\g.com
    deleted: Trojan program Trojan.Win32.Runner.x File: C:\WINDOWS\system32\sdsfgwq.com
    deleted: Trojan program Trojan.Win32.Runner.x File: C:\WINDOWS\system32\sfsdfcx.com


    HijackThis:



    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 11:58:27, on 08.04.2008
    Platform: Windows XP (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 (6.00.2600.0000)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
    C:\WINDOWS\System32\Clock.exe
    C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
    C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
    C:\WINDOWS\System32\lohxob.exe
    C:\WINDOWS\System32\ctfmon.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\Gothic.exe
    C:\WINDOWS\System32\wuauclt.exe
    C:\Programme\Real\RealPlayer\RealPlay.exe
    C:\Programme\Trend Micro\HijackThis\HijackThis.exe

    O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
    O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
    O4 - HKLM\..\Run: [kiss] C:\WINDOWS\TEMP\RarSFX3\S.exe
    O4 - HKLM\..\Run: [Windows Insecure] Clock.exe
    O4 - HKLM\..\Run: [Windows hes Layers] lohxob.exe
    O4 - HKLM\..\Run: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe
    O4 - HKLM\..\Run: [AVP] "C:\Programme\Kaspersky Lab Tool\setup_7.0.0.180_07.04.2008_23-35.exe"
    O4 - HKLM\..\Run: [HOT FIX] Gothic.exe
    O4 - HKLM\..\RunServices: [Windows Insecure] Clock.exe
    O4 - HKLM\..\RunServices: [Windows hes Layers] lohxob.exe
    O4 - HKLM\..\RunServices: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe
    O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe
    O4 - HKLM\..\RunOnce: [Windows Insecure] Clock.exe
    O4 - HKLM\..\RunOnce: [HOT FIX] Gothic.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [Windows Insecure] Clock.exe
    O4 - HKCU\..\Run: [Windows hes Layers] lohxob.exe
    O4 - HKCU\..\Run: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe
    O4 - HKCU\..\RunOnce: [Windows Insecure] Clock.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [Windows hes Layers] lohxob.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\Run: [MicroSoft Visual SP01] igfsfdfsd3sda2ss.exe (User '?')
    O4 - HKUS\S-1-5-21-776561741-329068152-1417001333-1004\..\RunOnce: [Windows Insecure] Clock.exe (User '?')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User '?')
    O4 - HKUS\S-1-5-18\..\RunOnce: [MicroSoft Visual SP2] igfsfdfsd32.exe (User '?')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Visual SP2] igfsfdfsd32.exe (User 'Default user')
    O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\WINDOWS\System32\shdocvw.dll
    O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
    O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
    O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
    O23 - Service: Firebird Guardian - DefaultInstance (FirebirdGuardianDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbguard.exe
    O23 - Service: Firebird Server - DefaultInstance (FirebirdServerDefaultInstance) - The Firebird Project - C:\Programme\Firebird\Firebird_1_5\bin\fbserver.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: Microsoft Windows TCP Protocol - Unknown owner - C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)
    O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\VIRUSfighter\Nvc\BIN\nipsvc.exe (file missing)
    O23 - Service: setup_7.0.0.180_07.04.2008_23-35 - Kaspersky Lab - C:\Programme\Kaspersky Lab Tool\setup_7.0.0.180_07.04.2008_23-35.exe

    --
    End of file - 5779 bytes
     
  17. #16 Humdinger, 08.04.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Überprüfe das mal:

    C:\WINDOWS\System32\Clock.exe
    C:\WINDOWS\System32\Gothic.exe

    Diese Datei/Dateien hier scannen lassen:
    VIRUSTOTAL
    Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - und hier vollständig posten
     
  18. #17 TIPower, 08.04.2008
    TIPower

    TIPower Erfahrener Benutzer

    Dabei seit:
    26.03.2008
    Beiträge:
    2.201
    Zustimmungen:
    0
    O4 - HKCU\..\Run: [Windows Insecure] Clock.exe

    O4 - HKCU\..\RunOnce: [Windows Insecure] Clock.exe

    O4 - HKUS\.DEFAULT\..\RunOnce: [MicroSoft Visual SP2] igfsfdfsd32.exe (User 'Default user'

    O23 - Service: Microsoft Windows TCP Protocol - Unknown owner -

    C:\WINDOWS\System32\dllcache\wintcps.exe (file missing)

    O4 - HKCU\..\RunOnce: [Windows Insecure] Clock.exe

    O4 - HKCU\..\Run: [Windows Insecure] Clock.exe

    O4 - HKLM\..\RunServices: [HOT FIX] Gothic.exe

    O4 - HKLM\..\Run: [Windows Insecure] Clock.exeO4 - HKLM\..\RunServices: [Windows Insecure] Clock.exe

    C:\WINDOWS\System32\Gothic.exe

    C:\WINDOWS\System32\Clock.exe


    Fixen den die sind schädlich
     
  19. #18 Humdinger, 08.04.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Erstmal:

    Anschließend können wir die Autostart Einträge entfernen. Das poste ich dann noch.
     
  20. Anzeige

    Es ist generell erstmal empfehlenswert alle ggf. veralteten oder fehlerhaften Treiber zu scannen und auf neue zu aktualisieren. Hier kannst du einen Treiber-Scanner downloaden. Das erspart oftmals viel Ärger und hilft gegen diverse Probleme.
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  21. #19 Humdinger, 08.04.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Probleme???
     
  22. Leve

    Leve Neuer Benutzer

    Dabei seit:
    07.04.2008
    Beiträge:
    18
    Zustimmungen:
    0

    Datei Clock.exe empfangen 2008.04.09 00:16:05 (CET)
    Status: Laden ... Wartend Warten Überprüfung Beendet Nicht gefunden Gestoppt
    Ergebnis: 15/32 (46.88%)

    AhnLab-V3 2008.4.9.0 2008.04.08 -
    AntiVir 7.6.0.81 2008.04.08 TR/Crypt.TPM.Gen
    Authentium 4.93.8 2008.04.08 -
    Avast 4.8.1169.0 2008.04.08 -
    AVG 7.5.0.516 2008.04.08 BackDoor.RBot.BF
    BitDefender 7.2 2008.04.08 DeepScan:Generic.Malware.KIFWXg.487ED006
    CAT-QuickHeal 9.50 2008.04.08 Backdoor.SdBot.gen
    ClamAV 0.92.1 2008.04.08 PUA.Packed.Themida
    DrWeb 4.44.0.09170 2008.04.08 -
    eSafe 7.0.15.0 2008.04.01 -
    eTrust-Vet 31.3.5683 2008.04.08 -
    Ewido 4.0 2008.04.08 -
    F-Prot 4.4.2.54 2008.04.08 -
    F-Secure 6.70.13260.0 2008.04.08 Suspicious:W32/Malware!Gemini
    FileAdvisor 1 2008.04.09 -
    Fortinet 3.14.0.0 2008.04.08 -
    Ikarus T3.1.1.26.0 2008.04.08 Generic.Sdbot
    Kaspersky 7.0.0.125 2008.04.09 -
    McAfee 5269 2008.04.08 W32/Sdbot.worm.gen.ci
    Microsoft 1.3408 2008.04.06 -
    NOD32v2 3011 2008.04.08 probably a variant of Win32/Packed.Themida
    Norman 5.80.02 2008.04.08 -
    Panda 9.0.0.4 2008.04.08 W32/Gaobot.QFB.worm
    Prevx1 V2 2008.04.09 Worm.Rbot
    Rising 20.39.12.00 2008.04.08 Trojan.Win32.Undef.cel
    Sophos 4.28.0 2008.04.08 Sus/ComPack
    Sunbelt 3.0.1032.0 2008.04.08 -
    Symantec 10 2008.04.09 -
    TheHacker 6.2.92.268 2008.04.08 -
    VBA32 3.12.6.4 2008.04.06 -
    VirusBuster 4.3.26:9 2008.04.08 Packed/Themida
    Webwasher-Gateway 6.6.2 2008.04.08 Trojan.Crypt.TPM.Gen
    weitere Informationen
    File size: 987136 bytes
    MD5...: 4b4f8b56f887489e46105b2611c30c70
    SHA1..: 454677fd9d83748f074be19cecd0aa00fc36f519
    SHA256: 7eec840b3a8ba139381f673f87dbe43aa651071ccb887b573ad4e0de6c955c48
    SHA512: 1d33b766ec7018c90edee776dc1186336012915dc08b5feb5169b01823286203
    db3398c5e92b36c6bb4c6f28a92953360aa29403cae4c813537caa9cd28b6658
    PEiD..: -
    PEInfo: PE Structure information

    ( base data )
    entrypointaddress.: 0x512014
    timedatestamp.....: 0xa0a0a0a0L (invalid)
    machinetype.......: 0x14c (I386)

    ( 4 sections )
    name viradd virsiz rawdsiz ntrpy md5
    0x1000 0x10f000 0x17000 7.97 9adabc8d266a59d0cc46298d5959315d
    .rsrc 0x110000 0x1000 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e
    .idata 0x111000 0x1000 0x1000 0.24 58167e98168b1faa4298c9109be8687b
    Virus 0x112000 0xee000 0xd8000 4.18 f7668d810189941f52efcc84b017cd18

    ( 2 imports )
    > KERNEL32.dll: CreateFileA, ExitProcess
    > COMCTL32.dll: InitCommonControls

    ( 0 exports )
    Prevx info: http://info.prevx.com/aboutprogramtext.asp?PX5=E44FA7E500C1FF0E10B00F2B1ACC38005FB45064
    packers (F-Prot): Themida
     
Thema: Trojaner, Viren?
Besucher kamen mit folgenden Suchen
  1. backdoor.win32.sdbot.wnf

    ,
  2. wmiaprpl_new.h

    ,
  3. bachdoor win32.sd bot.wnf

    ,
  4. Microsoft Winedows Updete soutoco.exe,
  5. sfsdfcx C,
  6. WmiApRpl_new,
  7. windowssystem32
Die Seite wird geladen...

Trojaner, Viren? - Ähnliche Themen

  1. Welches Viren-Programm ist am besten?

    Welches Viren-Programm ist am besten?: Hi leute, ich nutzer seit längerem Avira und bin eigentlich zufrieden. ich habe über einen bekannten erfahren, dass er kaspersky nutzt und dass es...
  2. E-Mails vor Exchange und Verteilung auf Viren prüfen

    E-Mails vor Exchange und Verteilung auf Viren prüfen: Gibt es eine Lösung wie man Mails vor der Verteilung auf Schadsoftware/Viren prüfen kann. Hat da jemand mit Erfahrung? Danke
  3. Trojaner weg trotz windows.old-Ordner nach Neuinstallation von Windows?

    Trojaner weg trotz windows.old-Ordner nach Neuinstallation von Windows?: Hi, kann ein Trojaner die Neuinstallation von Windows 7 überleben wenn man den Windows.old-Ordner behalten hat? mfg
  4. Viren vorsetzlich herunterladen

    Viren vorsetzlich herunterladen: bitte löschen.
  5. Spiel Installation - Meldung Trojanisches Pferd

    Spiel Installation - Meldung Trojanisches Pferd: Hallo liebe Community, ich habe mir vor 2 Tagen das Spiel Mafia II von Green Pepper gekauft (neu, 6,99, nicht directors cut). Habe es bereits...