Trojanisches Programm

Dieses Thema im Forum "Viren, Würmer, Spyware" wurde erstellt von ham, 31.01.2008.

  1. ham

    ham Erfahrener Benutzer

    Dabei seit:
    18.07.2007
    Beiträge:
    157
    Zustimmungen:
    0
    Hallo

    Habe folgendes Problem mein Bruder hat einen Virus drauf das er keine Administrator rechte mehr hat?
    Und weil er sein Antivirus nicht aktualisiert hatte ( 14 tage -_- typisch ) und dies nicht gefunden hat. Habe ich mal (Von meinen Rechner )seine Festplatte durchsucht mit meinen kaspersky Internet security durchsucht. Und ? Natürlich hat er was gefunden ein gefunden: trojanisches Programm Trojan.Win32.Qhost.aes Datei: \\----\Autostart\autorun.exe//UPX so habe diese Datei schon entfernt. Folgendes Problem ist nun das keine Administrator rechte mehr hat denke mal das was in den Registerdateien von Windows geändert würde darauf hin habe ich mal hiijack gestartet und gescannt:

    Logfile of Trend Micro HijackThis v2.0.2
    Scan saved at 22:45:32, on 31.01.2008
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\CyberLink\Shared Files\RichVideo.exe
    C:\WINDOWS\Explorer.exe
    C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    C:\Programme\Winamp\Winampa.exe
    C:\Programme\Java\jre1.6.0_02\bin\jusched.exe
    C:\WINDOWS\system32\RunDll32.exe
    C:\WINDOWS\system32\RUNDLL32.EXE
    C:\Programme\Logitech\G-series Software\LGDCore.exe
    C:\Programme\Logitech\G-series Software\LCDMon.exe
    C:\WINDOWS\avp.exe
    C:\WINDOWS\mgrs.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDCountdown\LCDCountdown.exe
    C:\WINDOWS\system32\wscntfy.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDPop3\LCDPOP3.exe
    C:\Programme\ICQ6\ICQ.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDClock.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\Programme\Logitech\G-series Software\Applets\LCDMedia.exe
    C:\PROGRA~1\jens\Zykon\Z1Driver.exe
    C:\Programme\Outerinfo\Outerinfo.exe
    C:\Programme\Outerinfo\OuterinfoUpdate.exe
    C:\WINDOWS\System32\svchost.exe
    C:\Programme\Google\Google Updater\GoogleUpdater.exe
    C:\Programme\Xfire\Xfire.exe
    C:\WINDOWS\system32\msiexec.exe
    C:\Programme\Java\jre1.6.0_02\bin\jucheck.exe
    D:\HiJackThis202.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.APEHA.ru
    R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    R3 - URLSearchHook: (no name) - {1BB22D38-A411-4B13-A746-C2A4F4EC7344} - (no file)
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe
    O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
    O2 - BHO: (no name) - {2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F} - C:\Programme\Outerinfo\Outerinfo.dll
    O2 - BHO: XBTP04929 - {45D67691-711B-450f-A83C-ECDC75BD628B} - C:\PROGRA~1\IMMERW~1\toolbar.dll
    O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_02\bin\ssv.dll
    O2 - BHO: (no name) - {7A690EA1-E928-47BF-8224-97EC3173ABCB} - C:\WINDOWS\system32\awtqo.dll
    O2 - BHO: (no name) - {89A1E40D-0254-4F99-B9AE-B60A2D8754A9} - C:\WINDOWS\system32\ssqnnnm.dll
    O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
    O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.615.5858\swg.dll
    O2 - BHO: XBTP01621 - {F6104497-54FD-4688-9162-5115CC8AB0FB} - C:\PROGRA~1\BEARSH~1\BEARSH~2\MediaBar.dll
    O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\PROGRA~1\ICQTOO~1\toolbaru.dll
    O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll
    O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
    O3 - Toolbar: Immer wieder Jim - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - C:\Programme\Immer wieder Jim\toolbar.dll
    O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
    O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
    O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\CyberLink\PowerDVD\Language\Language.exe
    O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
    O4 - HKLM\..\Run: [WinampAgent] "C:\Programme\Winamp\Winampa.exe"
    O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_02\bin\jusched.exe"
    O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
    O4 - HKLM\..\Run: [SoundMnEx32] C:\WINDOWS\servsq.exe
    O4 - HKLM\..\Run: [wmml1.101] C:\WINDOWS\wmml1.101.exe
    O4 - HKLM\..\Run: [Sund32] C:\WINDOWS\system32\gpthread32.exe
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
    O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
    O4 - HKLM\..\Run: [wensdw] C:\WINDOWS\wensdw.exe s
    O4 - HKLM\..\Run: [wmml1.107] C:\WINDOWS\System32\wmml1.107.exe
    O4 - HKLM\..\Run: [Launch LGDCore] "C:\Programme\Logitech\G-series Software\LGDCore.exe" /SHOWHIDE
    O4 - HKLM\..\Run: [Launch LCDMon] "C:\Programme\Logitech\G-series Software\LCDMon.exe"
    O4 - HKLM\..\Run: [wmml1.108] C:\WINDOWS\wmml1.108.exe
    O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe
    O4 - HKLM\..\Run: [smgr] mgrs.exe
    O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe
    O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [ICQ] "C:\Programme\ICQ6\ICQ.exe" silent
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
    O4 - HKCU\..\Run: [Zykon Z1 Mouse] C:\PROGRA~1\jens\Zykon\Z1Driver.exe
    O4 - HKCU\..\Run: [Outerinfo] "C:\Programme\Outerinfo\Outerinfo.exe"
    O4 - HKCU\..\Run: [OuterinfoUpdate] "C:\Programme\Outerinfo\OuterinfoUpdate.exe"
    O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O4 - Startup: .protected
    O4 - Startup: findfast.exe
    O4 - Startup: PowerReg Scheduler.exe
    O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
    O4 - Global Startup: .protected
    O4 - Global Startup: autorun.exe
    O4 - Global Startup: Google Updater.lnk = C:\Programme\Google\Google Updater\GoogleUpdater.exe
    O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
    O9 - Extra button: Statistik für Web-Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://static.ak.schuelervz.net/photouploader/ImageUploader4.cab?nocache=20071219-1
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.91 85.255.112.215
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.91 85.255.112.215
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.91 85.255.112.215
    O20 - AppInit_DLLs: olearasr.dll e1.dll ipxrir32.dll kbdgmqqm.dll,wbsys.dll ddragdi3.dll dtctwmpd.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll
    O20 - Winlogon Notify: admewinr - C:\WINDOWS\system32\admewinr.dll
    O20 - Winlogon Notify: ctl3pack - C:\WINDOWS\system32\ctl3pack.dll
    O20 - Winlogon Notify: davcgpte - C:\WINDOWS\system32\davcgpte.dll
    O20 - Winlogon Notify: mtxosmlo - C:\WINDOWS\system32\mtxosmlo.dll
    O20 - Winlogon Notify: ssqnnnm - C:\WINDOWS\SYSTEM32\ssqnnnm.dll
    O20 - Winlogon Notify: vdmdracp - C:\WINDOWS\system32\vdmdracp.dll
    O20 - Winlogon Notify: winmfu32 - C:\WINDOWS\SYSTEM32\winmfu32.dll
    O21 - SSODL: zip - {00a34796-afaa-47fe-8069-8a187cbd5a6b} - C:\WINDOWS\Installer\{00a34796-afaa-47fe-8069-8a187cbd5a6b}\zip.dll
    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe
    O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\CyberLink\Shared Files\RichVideo.exe

    --
    End of file - 8975 bytes

    Also ich finde wenn ich an meinen Rechner denke das sehr unnormal
     
  2. AdMan

    schau mal hier: Windows-Wartungs-Tool. Viele Probleme lassen sich damit einfach beheben. Oftmals ist der PC dann auch schneller!
    Registrieren bzw. einloggen, um diese und auch andere Anzeigen zu deaktivieren.
  3. #2 ReinMan, 01.02.2008
    ReinMan

    ReinMan Erfahrener Benutzer

    Dabei seit:
    09.05.2007
    Beiträge:
    8.577
    Zustimmungen:
    0
    Ort:
    Berlin
    C:\WINDOWS\mgrs.exe

    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\shell.exe

    O2 - BHO: (no name) - {2E9D4C81-9F27-4c14-B804-7B0F6BC88A4F} - C:\Programme\Outerinfo\Outerinfo.dll

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://search.bearshare.com/sidebar.html?src=ssb

    O2 - BHO: (no name) - {7A690EA1-E928-47BF-8224-97EC3173ABCB} - C:\WINDOWS\system32\awtqo.dll

    O3 - Toolbar: Immer wieder Jim - {C49DD894-C6DE-4910-8C41-BA20F852D8BC} - C:\Programme\Immer wieder Jim\toolbar.dll

    O3 - Toolbar: BearShare MediaBar - {D3DEE18F-DB64-4BEB-9FF1-E1F0A5033E4A} - C:\Programme\BearShare applications\BearShare MediaBar\MediaBar.dll

    O4 - HKLM\..\Run: [Printer] C:\WINDOWS\system32\printer.exe

    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

    O4 - Global Startup: .protected

    O4 - Startup: .protected

    O4 - HKCU\..\Run: [Spoolsv] C:\WINDOWS\system32\spoolvs.exe

    O4 - HKLM\..\Run: [avp] C:\WINDOWS\avp.exe

    Die ganzen Dateien markierst du und gehst auf "Fix check." Danach startest du neu und postest ein neues Logfile und schaust ob das Problem weiterhin besteht. Er hat einen Adware befall und dann scannst du noch mit Adaware den Rechner komplett durch und sagst ihm er soll die ganzen "Toolbars" deinstallieren die sind sehr Viren anfällig vor allendingen die ICQ-Toolbar.

    Bei der letzten handelt es sich nicht um die Anwendung "Kaspersky Inet Security". Nicht wundern weil ich die jetzt auch rausgesucht habe.

    O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Programme\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

    So heißt der echte Anwendungspfad.
     
  4. #3 Humdinger, 01.02.2008
    Humdinger

    Humdinger Erfahrener Benutzer

    Dabei seit:
    31.01.2008
    Beiträge:
    476
    Zustimmungen:
    0
    Hallo

    Nach dem Fix der Einträge, solltest du dein System gründlichst hier prüfen und bereinigen lassen. Oder halt formatieren (Wichtig wenn die Säuberung oder wenn du lieber formatieren willst durch ist, dann ändere unbedingt alle wichtigen Passwörter!)

    Du hast eine Wareout Rootkit Infektion sowie jede Menge anderer Infektionen. Es besteht Fremdzugriff auf dein System!

    Wenn du bereinigen willst:

    WindowsScan laden,
    ausführen, Report posten

    #Lade dir Registry Search auf dem Desktop speichern & entpacken,doppelklick auf RegSearch.exe

    Oben klicke auf search strings eingeben oder reinkopieren 85.255.116.91 dann klicke auf OK,am Ende Scan Report speichern & hier posten

    und poste einen neuen HijackThis log
     
Thema:

Trojanisches Programm

Die Seite wird geladen...

Trojanisches Programm - Ähnliche Themen

  1. Kann das Programm Data Recovery Pro gesperrte Fotos frei machen?

    Kann das Programm Data Recovery Pro gesperrte Fotos frei machen?: Hallo. Ich möchte fragen ob jemand schon irgendwann das Programm Data Recovery Pro benutzt hat? Auf meinem PC sind alle dateien und Fotos von...
  2. Programm für Netzwerkerstellung

    Programm für Netzwerkerstellung: Kennt jemand ein Programm / Tool, womit ich mir ein Netzwerk aufbauen kann und Testen. Ich kenne und habe bisher verwendet (Cisco packet Tracer)....
  3. Batch Programm

    Batch Programm: Hallo leute ich hab ein kleines Problem und zwar schreib ich grad an einem kleinen Batch Programm das aus einer Datei eine Zeile aus liest und...
  4. Trojaner weg trotz windows.old-Ordner nach Neuinstallation von Windows?

    Trojaner weg trotz windows.old-Ordner nach Neuinstallation von Windows?: Hi, kann ein Trojaner die Neuinstallation von Windows 7 überleben wenn man den Windows.old-Ordner behalten hat? mfg
  5. DOS Programm unter Windows 98/ XP

    DOS Programm unter Windows 98/ XP: Hallo zusammen, habe ein kleines Problem. Das Programm, welches ich gerne auf anderen Rechnern zum Laufen bringen möchte funktioniert irgendwie...