Log in or Sign up

Liebe Forumsgemeinde,

aufgrund der Bestimmungen, die sich aus der DSGVO ergeben, müssten umfangreiche Anpassungen am Forum vorgenommen werden, die sich für uns nicht wirtschaftlich abbilden lassen. Daher haben wir uns entschlossen, das Forum in seiner aktuellen Form zu archivieren und online bereit zu stellen, jedoch keine Neuanmeldungen oder neuen Kommentare mehr zuzulassen. So ist sichergestellt, dass das gesammelte Wissen nicht verloren geht, und wir die Seite dennoch DSGVO-konform zur Verfügung stellen können.
Dies wird in den nächsten Tagen umgesetzt.

Ich danke allen, die sich in den letzten Jahren für Hilfesuchende und auch für das Forum selbst engagiert haben. Ich bin weiterhin für euch erreichbar unter tti(bei)pcwelt.de.
Dismiss Notice

trojaner eingefange

Discussion in 'Sicherheit' started by Malefitz, Aug 18, 2007.

Thread Status:: Not open for further replies.

Page 1 of 2

Malefitz Byte

Hallo erst einmal,
grade hab ich Ad-aware laufen lassen. Mir wurde eine Infektion angezeigt.
Win32Trojadownloader.ZLOB
Den Eintrag habe ich sofort gelöscht und den Rechner neu gestartet.
Hat leider nichts geholfen, nach dem Starten ist der wieder da.
Laut AD.aware befindet sich das Ding in:
Rootkey:HKEY_USER
ObjektS-1-5-21-746137067-1767777339-1801674531-500\Software\microsoft\internet explorer\toolbar\webbrowser,
Wert:479fd0cf-5be9-4c63-8cda-b6d371c67bd5
Kategorie: Malware
Typ: Regvalue
oder habe ich da was falsch verstanden?
Suche ich an der falschen Stelle?
Den Eintrag habe ich gelöscht und den Rechner neu gestartet.
Hab dann HKEY_USER den Eintrag gelöscht.
Hat leider nichts gebracht. Das Ding hat sich neu geschrieben.
Ich habe schon ein wenig gelesen und glaube nun das daß Ding in einer Startdatei steckt. komme aber nicht weiter.
Hab mal unter win.ini geguckt, hat mir aber nicht viel geholfen.
Vielleich kann mir ja einer von euch helfen.
im vorraus schon mal vielen Dank

Malefitz, Aug 18, 2007

#1
deoroller Wandelndes Forum

Unerwünschte Toolbars und Autostarteinträge kannst du mit Hijackthis entfernen.
Meine bevorzugte Anleitung http://www.cidres-security.de/hjt_tutorial.html

deoroller, Aug 18, 2007

#2
-humi- Joker

du kannst auch nebenbei mal das

und dann im abgesicherten Modus starten und erneut adaware und dein Antivirenprog starten...

und wie im link von Deoroller beschrieben.. bitte ein Hijackthis log posten

-humi-, Aug 18, 2007

#3
Malefitz Byte
Fertig, daß war ja schon mal einfach.
Ganz so viel Erfharung habe ich mit dem Pc leider nicht, darum dauert manches etwas länger.
Hoffe ihr könnt mir Helfen.
Schon mal ein großes dankeschön im vorraus
Attached Files:
- $hijackthis.txt
  
  File size:
  
  6.3 KB
  
  Views:
  
  30
Malefitz, Aug 19, 2007

#4
Nevok Ganzes Gigabyte

Das HijackThis-Log ist sauber, keine Infektion erkennbar.

Nevok, Aug 19, 2007

#5
deoroller Wandelndes Forum
Code:

O4 - HKLM\..\Policies\Explorer\Run: [homepage.monitor.exe] C:\Programme\Media-Codec\isamonitor.exe

Der könnte schädlich sein. Bitte mal bei http://virusscan.jotti.org/de/
untersuchen lassen.

Außerdem scheinen Leute, die dieses Ding drauf hatten auch ein gelbes Wahndreieck gesehen zu haben. Usw. Bitte lass mal einen Internetscanner drüber laufen. Aber da können dir andere Leute besser helfen...
Click to expand...

http://www.trojaner-board.de/224846-post2.html
deoroller, Aug 19, 2007

#6
Malefitz Byte

Hab die Datei bei virusscan.jotti.org.de durchlaufen lassen.
Ergebniss: nichts gefunden
Nun habe ich AD-aware noch mal laufen lassen und das Ding wird mir immer noch angezeigt.
Spinnt das Programm vielleicht?
Habe ich nun einen Trojaner, oder etwa doch nicht?

AD-aware erkennt immer eine änderung in der Regestrierung und auch Angriffe auf den Rechner, aber alles wird Blockiert.

Trotzdem schon mal vielen Dank
Habe heute eine menge dazugelernt.
Ps: Was heißt den Rechner im Sicheren Modus starten??
Wie mache ich das und kann es sein das ich so einen Eindringling finde??

Malefitz, Aug 19, 2007

#7
-humi- Joker

hast du wie von mir gebeten...

Systemwiederherstellung aus

abgesicherter Modus
und adaware start... dann AV... dann spybot...

System neustart... Systemwiederherstellung aktivieren

Hijackthislog

durch dass löschen der Systemwiederherstellung verhinderst du dass sich ein unerwünschter Gast selbst "sichert", im abgesichertem Modus wird nur das Nötigste gestartet.

-humi-, Aug 19, 2007

#8
deoroller Wandelndes Forum

Du kannst isamonitor.exe ja mal testweise fixen.
Sie greift in die Richtlinien (Policy) des Explorers ein, was ich als verdächtig ansehe und erfüllt anscheinend Überwachungsaufgaben (Monitoring). Das macht es doppelt verdächtig.

deoroller, Aug 19, 2007

#9
Malefitz Byte

Hallo mal wieder,
hab den rechner im abgesicherten Modus gestartet.
AD-aware laufen lassen und Trojaner wieder gefunden.
Trojaner gelöscht.
Dann wie bei bsi.de beschrieben den rechner wieder im abgesicherten Modus gestartet.
Weiter stand da: Klicken sie im Systemkonfiguationsprogramm den Kartenreiter Allgemein und klicken sie die Systemstartauswahl" normaler Systemstart
Da hakt es bei mir.
Also, beim Hochfahren F8 mehrmals drücken. Klar
Nur leider steht dann da nicht von Systemkonfigurationsprogramm.
Hat wahrscheinlich einen anderen Namen, nur so Gut kenn ich mich da nicht aus. Wollte auch nichts falsch machen.
habe den rechner Neu gestartet und natürlich den Trojaner wieder Hochgeladen.
Wenn mir da vielleicht noch geholfen werden kann, das wäre super.
bin wirklich froh wenn ich das Ding los bin.
Viele liebe Grüsse an alle

Malefitz, Aug 19, 2007

#10
Malefitz Byte

du kannst Testweis isamoniter.exe ja mal fixen.????????
Bitte Übersetzten da ich damit leider gar nichts anzufangen weiß
( Bitte nicht lachen, neuling)

Malefitz, Aug 19, 2007

#11
deoroller Wandelndes Forum

Fixen (reparieren) indem der Eintrag markiert und mit klick auf "fixed checked" entfernt wird.

deoroller, Aug 19, 2007

#12
-humi- Joker

( Bitte nicht lachen, neuling)
Click to expand...

wir sind ja da um Fragen zu beantworten

http://members.linzag.net/680262/HJT/HijackThis.html#Was_bedeutet_FIXEN

edit: Deo war schneller

-humi-, Aug 19, 2007

#13
tobiy Kbyte

Es handelt sich bei dem netten "Win32/TrojanDownloader.Zlob" um eine Smitfraudvariante, lade dir Spybot Search&Destroy runter und scann damit mal deinen Rechner.
Wenn das nicht ausreicht Hier lesen und befolgen

tobiy, Aug 19, 2007

#14
deoroller Wandelndes Forum

-humi- said: ↑

edit: Deo war schneller
Click to expand...

-humi- schnell wie Schumi

deoroller, Aug 19, 2007

#15
-humi- Joker

deoroller said: ↑

schnell wie Schumi
Click to expand...

der is aber nicht mehr schnell

-humi-, Aug 19, 2007

#16
Malefitz Byte

Zuerst einmal Entschuldigung, daß ich mich so lange nicht gemeldet habe.
nun bin ich aber wieder mit meinem kleinen Problem beschäftigt.
Erst den Rechner gestartet.
Dann SpyBot-Search&Destroy ausgeführt. Fehler gefunden und behoben.
Rechter Mausklick auf Arbeitsplatz und Eigenschaften ausgewält.
Systemwiederherstellung auf allen Laufwerken deaktiviert.
Rechner im abgesicherten Modus gestartet.
Dann habe ich es mit SpyBot-Search&Destroy noch mal überprüft.
Wieder einen Fehler gefunden.
Fehler ausgewählt und Problem beheben angeklickt.
Darauf folgte die meldung:
Resident verweigert anderung der Regestrierbank.
Also nächstes Programm probiert. SmidfraudFix.exe
( Natürlich im abgesicherten Modus)
Fehler gefunden, aber dann
Resident verweigert änderung der Regestrierdatenbank.
Bin dann auf die Idee gekommen über Start Ausführen regedit die Infizierte Datai zu Suchen und zu Entfernen. Leider wird dies nun durch SpyBot blockiert.
SpyBot deaktivieren??
XP lieber neu aufspielen?
oder habe ich noch irgendeinen anderen Fehler bei der Problembehandlung gemacht??
und nochmal Entschuldigung das ich mich länger nicht gemeldet habe
Ach ja.
SpyBot findet: Smitfraud-c.Toolbar, hat das was zu bedeuten?

Malefitz, Aug 23, 2007

#17
-humi- Joker

Informationen und Anleitung, um Trojaner Trojan-Spy.HTML.Smitfraud.a (Betreff [Subject] der eMail: Smith Barney: Security Maintenance; angeblich von Smith Barney financial company www.smithbarney.com, zeigt gefälschte Seiten, stiehlt Daten) - auch Phish-BankFraud.eml, Trojan.Bankfraud, HTML.Phishing.Bank-1 und HTML/Smithfraud.gen genannt - vom System zu entfernen, zu löschen (Kaspersky, Viruslist, englisch)
Click to expand...

es gibt da nur eines was wirklich hilft...
leider...

Wenn ein System kompromittiert wurde, ist das System nicht mehr vertrauenswürdig. Das heißt, das alle Daten manipuliert sein könnten, das alle Programme manipuliert sein könnten und das alle Informationen, die auf dem System gespeichert waren oder verarbeitet worden sind, an Dritte weitergegeben worden sein könnten.
Click to expand...

ergo...
>>Neuafsetzen<<

du könntest auch das probieren

-humi-, Aug 23, 2007

#18
Malefitz Byte

Zu erst mal vielen Dank für die schnelle Antwort.
Habe mich für die Neuinstallation Enstschiede.
Vielen Dank noch mal für die Hilfe und schönen Gruß an alle

Malefitz, Aug 23, 2007

#19
smoky_jones ROM

leute bei mir tritt des gleiche problem auf wäre sehr froh wenn ihr mir helfen könntet hab hijack durchlaufen lassen und dass kam dabei raus :
Logfile of HijackThis v1.99.1
Scan saved at 22:34:15, on 05.09.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Softwin\BitDefender8\bdmcon.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\Java\jre1.6.0\bin\jusched.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\Programme\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Programme\Logitech\Video\LogiTray.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Logitech\Video\FxSvr2.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.exe
C:\Programme\OpenOffice.org 2.2\program\soffice.BIN
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\MSN Messenger\usnsvc.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Dokumente und Einstellungen\Zielinski\Desktop\HijackThis.exe

O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [BDMCon] "C:\Programme\Softwin\BitDefender8\bdmcon.exe"
O4 - HKLM\..\Run: [BDNewsAgent] "C:\Programme\Softwin\BitDefender8\bdnagent.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Programme\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0\bin\jusched.exe"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\Video\ISStart.exe
O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\Video\LogiTray.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NBKeyScan] "C:\Programme\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu2000352.exe 61A847B5BBF72810329B385577FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310
O4 - HKLM\..\Run: [SystemRestoreStatus] rundll32.exe "C:\WINDOWS\system32\fbtgvoem.dll",sitypnow
O4 - HKLM\..\Run: [mav_startupmon] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\mav_startupmon.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\Video\ManifestEngine.exe boot
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - Startup: OpenOffice.org 2.2.lnk = C:\Programme\OpenOffice.org 2.2\program\quickstart.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: C-DillaCdaC11BA - C-Dilla Ltd - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Programme\Gemeinsame Dateien\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

könnt ihr mir bitte bitte bitte helfen ich hab kein planw a sich da machen muss

smoky_jones, Sep 5, 2007

#20

(You must log in or sign up to reply here.)

Page 1 of 2

Thread Status:: Not open for further replies.

Share This Page