Trojaner über MSN-Messenger eingefangen

Hallo,

ich habe über den MSN-Messenger einen Trojaner eingefangen, war als Bilddownload gekennzeichnet.
Nun habe ich mit Antivir alles durchsucht und die Dateien gelöscht.

Soweit so gut.
Jetzt bekomme ich bei jedem hochfahren des Laptops folgende Meldung:
"/027115.exe" konnte nicht gefunden werden. Stellen Sie sicher, dass Sie den Namen korrekt eingegeben haben und wiederholen Sie den Vorgang. Klicken Sie auf "Start" und anschließend auf "Suchen", um eine Datei zu suchen.

Registry hab ich schon auf Auffälligkeiten untersucht, aber ich bin echt überfragt.
Googlen bringt nix. Die Datei mit dem Namen taucht nirgends auf.

Eine Antwort wäre super.

Danke und Gruß
Thomas

 

Du kannst mit msconfig (über Start-Ausführen starten) einen entsprechenden Autostarteintrag suchen und deaktivieren.
Zur Sicherheit kannst du noch ein Hijackthis-Log machen.

 

mach zusätzlich mittels IE einen Onliinscan deines Rechners: auf kaspersky (link hinter meiner Signa)

 

Hallo,

danke erstmal für eure Tips. Kaspersky hat nix gefunden. Anscheinend alles sauber. Msconfig ist mir auch nix auffälliges aufgefallen.

Aber ich hab das Problem nach wie vor. Hab auch mal mit einem Reg-Cleaner versucht unwichtiges im Start-Prozess rauszunehmen-Ohne Erfolg.
Hab mal die Start-Up-List als Screenshot angehängt. Vielleicht lässt sich daraus was erkennen?!

Sorry, für die späte Antwort. Unterwegs gewesen. Und umso mehr danke für eure schnelle Hilfe. Danke. Vielleicht fällt euch ja noch was ein.

Gruß
Thomas

 

Eine *.doc-Datei von einem virenbafallenen Rechner in ein Forum zu stellen, ist ja wohl eine Freschheit.

 

Virenbefallen?
Wohl eher nicht. Sorry, aber war mir nicht bewusst. Welches Format wär denn besser?

Gruß
Thomas

 

Woher kommt denn dein Problem, welches zu deiner Frage geführt hat?

Da wäre als erstes *.txt, dann *.jpg oder *.gif

 

Ok, dann schreib ich einfach mal runter was in der Starup-List beim Reg-Cleaner auftaucht:

Agrsmmsg.exe / HKEY_LM\RUN
Alcmtr.exe/ HKEY_LM\RUN
Ctfmon.exe/ HKEY_CU\RUN
Ehtray.exe/ HKEY_LM\RUN
lgfxhkcmd.exe/ HKEY_LM\RUN
lgfxper.exe/ HKEY_LM\RUN
Igfxtray.exe/ HKEY_LM\RUN
NDSTray.exe/ HKEY_LM\RUN
Rthdcpl.exe/ HKEY_LM\RUN
Jusched.exe (SunJavaUpdateSched)/ HKEY_LM\RUN
GoogleToolbarNotifier.exe (Swg)/ HKEY_CU\RUN
V0470Mon.exe/ HKEY_LM\RUN
Zlclient.exe (Zone Alarm)/ HKEY_LM\RUN

Befürchte aber fast das hilft auch nicht weiter oder?

Gruß
Thomas

 

Was ist hiermit?

 

Die "agrsmmsg.exe" gehört zum "AMR-Modem Treiber.
http://www.google.de/search?hl=de&q=Agrsmmsg.exe&btnG=Suche&meta=lr=lang_de
Das Analog Modem kann möglicherweise im BIOS deaktiviert werden.
Wenn DSL genutzt wird, wird es nicht gebraucht.

Die Alcmtr.exe kommt mit der Software zur Realtek Soundhardware und sammelt Informationen über deine Computernutzung...
http://www.google.de/search?hl=de&q=Alcmtr.exe&btnG=Suche&meta=lr=lang_de

Kann so fortgesetzt werden.

 

Hi,

ja die Programme hat ich auch schon mal gecheckt, dürfte nichts gefährliches dabei sein.

Über msconfig find ich keinen entsprechenden Autostarteintrag.

Hmm, ich vermute einfach das ist mit der Lösch-Aktion von Antivir passiert. Evtl. zu viel gelöscht oder keine Ahnung? Kann das sein?

Gruß
Thomas

 

Keine Lust?

Du scheinst nicht zu wissen, was ein Antivirenprogramm macht.
Es ist dafür da, eine schädliche Datei zu erkennen, nicht ein System zu reparieren.
Dafür gibt es andere Programme, die ganz genau auf das Schadprogramm zugeschnitten sind. Und um ein solches einzusetzen, ist es erforderlich, die genauen Informationen des Antivirenprogramm zu analysieren, um die richtige Reparaturprozedur zu finden.

 

Ja, glaub da muss ich eingestehen dass ich die Virenprogramme wohl etwas falsch eingeschätzt hab.

Hier der Logfile. Sieht man darin was?

Gruß
Thomas

 

Da sieht man schon einiges:

 

Hallo Tom_b

Folgende Einträge bitte fixen:

• O2 - BHO: Class - {92105C76-005F-6052-52F0-C12A963DCF4D} - C:\WINDOWS\bxjul1.dll (file missing)
• O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll (file missing)
• O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll (file missing)
• O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
• O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)

Die Dateien (fettdruck) zu folgenden Einträge bitte online unter http://www.virustotal.com/de/ oder http://virusscan.jotti.org/de/ untersuchen lassen:

• F2 - REG:system.ini: Shell=EXPLORER.EXE \027115.exe
• O4 - HKLM\..\Run: [V0470Mon.exe] C:\WINDOWS\V0470Mon.exe

Sollten sich die Dateien als "schlecht" erweisen, dann diese Einträge ebenfalls fixen.

Gruß
Nevok

 

Wie war doch der eine Eintrag im HighJackThis-Log?

 

Danke.
Werde mal eure Ratschläge befolgen und Rückmeldung hier posten ob alles funktioniert.

 

Vielen Dank für eure Hilfe.
Scheint geklappt zu haben. Fehlermeldung taucht nicht mehr auf.

Gruß
Thomas

 

Auszug von WinTotal

Auszug einer Anderen Seite

Fakt ist jedoch, die Datei wird nicht gebraucht!

 

Ich würde gleich eine ordentliche Soundkarte einbauen.
Onboardsound habe ich noch nie gemocht.