• Du schaust Dir das Forum gerade als Gast an! Die Anmeldung ist KOSTENLOS!


    -Nutzung des Privaten Mailsystems
    - Nutzung der kostenlosen APP für Android und Apple, mit der möglichkeit Bilder hochzuladen welche in Deutschland auf einem Server liegen (Datensicherheit)
    - Im Chat mit anderen aktiven Usern aus der Region in Kontakt treten
    - Handel betreiben und wie bei Ebay bewertungen hinterlassen
    - wir sind eine Community welche nicht anonym ist wie Facebook und Co. :-)
    .....was sonst noch? Finde es heraus und werde Mitglied.....

    .Darum melde Dich an! Einfach hier klicken zum Anmelden!

    Wenn Du Probleme bei der Anmeldung hast, oder Fragen haben solltest klicke bitte hier!.

    Dein Team des noch größten, für den Raum Düren, Jülich, Rureifel, Aachen und Köln noch aktive Verkaufs, Tausch und Hilfeforum!

Probleme mit Trojaner/Virus

16vdriver

Über 18
Über 18 Jahre alt!
Meine Bank Bank hat mir gestern mein Onlinebanking gesperrt weil meine Daten auf einen Server im Ausland gefunden wurden.
Laut der Bank handelt es sich um denVirus/Trojaner urlzone.

Natürlich habe ich sofort Avira Antivir laufen lassen , dieser hat aber nicht gefunden.
Daraufhin habe Spybot lauffen lassen auch dieser war ohne erfolg.

Was soll ich tun ????
 
AW: Probleme mit Trojaner/Virus

Erst mal von dem Rechner gar nicht mehr versuchen ein Banking zu machen, auch nicht mit einem anderen Browser.

Die Bank wird vermutlich dazu raten den Rechner komplett neu aufzubauen, also komplett zu löschen. Allerdings sollte zuerst eine Beweissicherung durchgeführt werden, damit man was in der Hand hat, falls schon jemand "Unsinn" mit deinen Daten angestellt hat.

Bist übrigens nicht der erste, der davon betroffen ist, eine Internetsuche liefert dazu einiges mehr. :rolleyes:
Auch was man machen sollte und wie. Dazu gibt es in speziellen Foren auch entsprechende Unterstützung von "Spezialisten", Herstellern von Antivirensoftware.

Zwei Zitate von Markus Klaffke aus seinem Forum wo genau dasselbe diskutiert wird:

Erstmal nur prüfen, nichts voreilig löschen (aus Beweissicherungsgründen). Banking ist ja gesperrt.

Erstell bitte zusätzlich datfind-LogFiles:
Datfindbat

Bitte von der verlinkten Seite nicht Schritt 1 umsetzen, sondern nur Schritt 2. Poste aus den LogFiles bitte nur die Daten der jeweils letzten drei Monate!
Führe währenddessen bitte einen Scan mit dem Rootkitscanner "Gmer" aus:
GMER - Files

Lade Dir dazu die Datei "gmer.zip", speichere sie ab, pack das Archiv aus, öffne die entpackte Datei "gmer.exe", wechsele darin zum Tab "Rootkit". Stell sicher, dass rechtsseitig bei allen Laufwerken Häkchen gesetzt sind. (Kein Häkchen bei "Show all" setzen!

Wähle danach "Scan" und warte das Scanende ab. Poste danach hier alle Funde, ohne allerdings etwas zu löschen!
Seine Seite ist ganz hilfreich: Schädlinge ausfindig machen, isolieren und identifizieren
 
AW: Probleme mit Trojaner/Virus

Hier ist der logfile von

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:40, on 09.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Trust\Trust R-Series Mouse\StartAutorun.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trust\Trust R-Series Mouse\KMConfig.exe
C:\Programme\Trust\Trust R-Series Mouse\KMProcess.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.de/ws/eBayISAPI...gbh=1&MyEbay=&_trksid=m37&guest=1&_trksid=m37
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\****\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Trust\Trust R-Series Mouse\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S98.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\****\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun **** Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\****\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
--
End of file - 6460 bytes
 
AW: Probleme mit Trojaner/Virus

Hier ist der logfile


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:01:40, on 09.12.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\htpatch.exe
C:\WINDOWS\system32\LVCOMSX.EXE
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\ehome\ehtray.exe
C:\Programme\Trust\Trust R-Series Mouse\StartAutorun.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Trust\Trust R-Series Mouse\KMConfig.exe
C:\Programme\Trust\Trust R-Series Mouse\KMProcess.exe
C:\Programme\IncrediMail\bin\IMApp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = https://signin.ebay.de/ws/eBayISAPI...gbh=1&MyEbay=&_trksid=m37&guest=1&_trksid=m37
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\****\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE
O4 - HKLM\..\Run: [SpybotSnD] "C:\Programme\Spybot - Search & Destroy\SpybotSD.exe"
O4 - HKLM\..\Run: [WireLessMouse] C:\Programme\Trust\Trust R-series Mouse And Keyboard\StartAutorun.exe MouseDrv.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe
O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [KMCONFIG] C:\Programme\Trust\Trust R-Series Mouse\StartAutorun.exe KMConfig.exe
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [EPSON Stylus DX5000 Series (Kopie 1)] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATIBVE.EXE /FU "C:\WINDOWS\TEMP\E_S98.tmp" /EF "HKCU"
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\****\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun **** Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\****\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6\ICQ.exe
O16 - DPF: {AE2B937E-EA7D-4A8D-888C-B68D7F72A3C4} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab
O16 - DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} (IPSUploader4 Control) - https://photoservice.fujicolor.de/ips-opdata/operator/19780613/activex/IPSUploader4.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: EPSON V3 Service4(01) (EPSON_PM_RPCV4_01) - SEIKO EPSON CORPORATION - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\EPSON\EPW!3 SSRP\E_S30RP1.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
--
End of file - 6460 bytes
 
AW: Probleme mit Trojaner/Virus

Die Logfile musst Du hier analysieren lassen : HijackThis Logfileauswertung

Ehrlich gesagt würde ich nicht mit dem aktuellen Betriebssystem arbeiten, sonder mit einer Live CD auf Linux Basis mit Bitdefender, Avast oder so und von CD/USB Stick das Sytem scannen. Es kann gut sein, dass der Trojaner sich selbst versteckt und für das laufende System unsichtbar ist.

Wenn Du den Übeltäter gefunden hast, diesen nicht löschen, sondern die zuständige Polizei fragen, was zu machen ist zur Beweissicherung, womöglich musst Du den PC (oder die Festplatte) abgeben zur Sicherung einer forensischen Kopie.
 
AW: Probleme mit Trojaner/Virus

Meine Bank Bank hat mir gestern mein Onlinebanking gesperrt weil meine Daten auf einen Server im Ausland gefunden wurden.
Laut der Bank handelt es sich um denVirus/Trojaner urlzone.

Natürlich habe ich sofort Avira Antivir laufen lassen , dieser hat aber nicht gefunden.
Daraufhin habe Spybot lauffen lassen auch dieser war ohne erfolg.

Was soll ich tun ????

Hast du die Nachricht schriftlich per Post bekommen?
 
AW: Probleme mit Trojaner/Virus

wow...Spybot und div. drauf... na klasse...

und was ist das ?
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe


also nach deinem log... ich würde ne neu installation machen...
und ich würde solche programme wie Spybot und div. runter lassen.. und lege dir eine seriöse software zu...
zb. ESET smartsecurity

nur mal so als anregung !
 
AW: Probleme mit Trojaner/Virus

ps:

C:\Programme\IncrediMail\bin\IMApp.exe --> müll
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe --> ist fast schon selber ein Trojaner
 
AW: Probleme mit Trojaner/Virus

wow...Spybot und div. drauf... na klasse...

und was ist das ?
O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe


also nach deinem log... ich würde ne neu installation machen...
und ich würde solche programme wie Spybot und div. runter lassen.. und lege dir eine seriöse software zu...
zb. ESET smartsecurity

nur mal so als anregung !

Was ist das ?

O4 - HKLM\..\Run: [HTpatch] C:\WINDOWS\htpatch.exe
 
AW: Probleme mit Trojaner/Virus

wie schon gesagt... lade dir smartsecurity runter und lasse dein system mal durch checken... der Firewall in dieser version ist erheblich besser als der standart von Windows !
 
AW: Probleme mit Trojaner/Virus

wie schon gesagt... lade dir smartsecurity runter und lasse dein system mal durch checken... der Firewall in dieser version ist erheblich besser als der standart von Windows !


Keine Funde sagt ESET

Das der log

Log
Version der Signaturdatenbank: 3373 (20080821)
Datum: 09.12.2008 Uhrzeit: 20:33:25
Geprüfte Laufwerke, Ordner und Dateien: C:\
C:\hiberfil.sys - Fehler beim Öffnen [4]
C:\pagefile.sys - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail\Data\JunkPreview\JFPlusOff.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail\Data\JunkPreview\JFPlusOn.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail\Data\Welcome\Getting Started.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail\Data\Welcome\Welcome1.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail\Data\Welcome\Welcome2.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail\Data\Welcome\Welcome3.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\IncrediMail\Data\Welcome\Welcome4.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FakeBillCourtCologne.zip » ZIP » sbRecovery.reg - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\FakeBillCourtCologne.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusOverride.zip » ZIP » sbRecovery.reg - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\MicrosoftWindowsSecurityCenterAntiVirusOverride.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PassStealer.zip » ZIP » SEVCMD3.OCX - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PassStealer.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PremiumSearch.zip » ZIP » sbRecovery.reg - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\PremiumSearch.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearch.zip » ZIP » sbRecovery.reg - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearch.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearchDesktoptoolbar.zip » ZIP » sbRecovery.reg - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearchDesktoptoolbar.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearchDesktoptoolbar1.zip » ZIP » sbRecovery.reg - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearchDesktoptoolbar1.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearchDesktoptoolbar2.zip » ZIP » sbRecovery.reg - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearchDesktoptoolbar2.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearchDesktoptoolbar3.zip » ZIP » sbRecovery.reg - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WhenUSearchDesktoptoolbar3.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentbgy.zip » ZIP » sbRecovery.reg - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentbgy.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinAgentpz.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy\Recovery\WinBaglehi.zip » ZIP » sbRecovery.ini - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\LocalService\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\LocalService\ntuser.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\LocalService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\NetworkService\NTUSER.DAT - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\NetworkService\ntuser.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\NetworkService\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Voldi\ntuser.dat - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Voldi\NTUSER.DAT.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Voldi\Anwendungsdaten\ASCOMP Software\Secure Eraser\errors.~log » ZIP » errors.log - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\Voldi\Anwendungsdaten\ASCOMP Software\Secure Eraser\events.~log » ZIP » events.log - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\Voldi\Anwendungsdaten\ASCOMP Software\Secure Eraser\protocol.~log » ZIP » protocol.log - Fehler - Datei ist passwortgeschützt
C:\Dokumente und Einstellungen\Voldi\Cookies\voldi@228ce72d468318d9[1].txt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\AnyDVD.and.AnyDVD.HD.v6.1.6.6.Incl.Key.rar » RAR » SetupAnyDVD6166.exe » NSIS - Archiv beschädigt
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\IncrediMailSetup3710_de.exe » WISE » Welcome1.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\IncrediMailSetup3710_de.exe » WISE » Welcome2.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\IncrediMailSetup3710_de.exe » WISE » Getting Started.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\IncrediMailSetup3710_de.exe » WISE » Welcome3.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\IncrediMailSetup3710_de.exe » WISE » Welcome4.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\IncrediMailSetup3710_de.exe » WISE » JFPlusOff.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\IncrediMailSetup3710_de.exe » WISE » JFPlusOn.eml » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\SetupAnyDVD6459.exe » NSIS - Archiv beschädigt
C:\Dokumente und Einstellungen\Voldi\Eigene Dateien\Software\winamp5531_full_all.exe » NSIS - Interner Fehler (10001)
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Anwendungsdaten\Identities\{D8A8761B-6937-4432-BA7E-4F130CFFE883}\Microsoft\Outlook Express\Posteingang.dbx » DBX - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D2927068-2233-493A-9DE0-7FAB504A0A84}\Message Store\Deleted Items.imm » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D2927068-2233-493A-9DE0-7FAB504A0A84}\Message Store\Drafts.imm » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D2927068-2233-493A-9DE0-7FAB504A0A84}\Message Store\Inbox.imm » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D2927068-2233-493A-9DE0-7FAB504A0A84}\Message Store\Sent Items.imm » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Anwendungsdaten\IM\Identities\{D2927068-2233-493A-9DE0-7FAB504A0A84}\Message Store\Tatti.imm » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Anwendungsdaten\IM\Runtime\IncrediMail_Install.exe » GZIP » - Archiv beschädigt
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Anwendungsdaten\Microsoft\Windows\UsrClass.dat.LOG - Fehler beim Öffnen [4]
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Temp\wecerr.txt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Temp\ImInstaller\IncrediMail_Install.exe » GZIP » - Archiv beschädigt
C:\Dokumente und Einstellungen\Voldi\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\IncrediMail_Install.exe » GZIP » - Archiv beschädigt
C:\Programme\eMule\Incoming\Aristocats.-.DVD-R.by.SPRC.rar » RAR » - falsche CRC-Prüfsumme - Datei ist möglicherweise beschädigt
C:\Programme\eMule\Incoming\MB.Maenner.sind.primitiv.aber.gluecklich.by.BlueEarth.ratDVD » ZIP » - Fehler beim Lesen des Archivs
C:\Programme\eMule\Temp\008.part » RAR » Jumper.German.DVDRip.XviD-CRUCiAL\AC3\crcl-jumper.xvid.ac3 - Archiv beschädigt
C:\Programme\Gemeinsame Dateien\****\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/deploy/ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0000-ABCDEFFEDCBA}/chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Gemeinsame Dateien\****\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Gemeinsame Dateien\****\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Gemeinsame Dateien\****\Update\Base Images\jre1.6.0.b105\core3.zip » ZIP » lib/resources.jar » ZIP » ****x/xml/bind/Messages.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Gemeinsame Dateien\LightScribe\Content\Getting Started.mht » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Gemeinsame Dateien\Logitech\QCDRV\BIN\ESP\license.txt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Gemeinsame Dateien\Logitech\QCDRV\BIN\PTB\license.txt » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\IncrediMail\bin\IncrediMail_Install.exe » GZIP » - Archiv beschädigt
C:\Programme\****\jre1.6.0_03\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\****\jre1.6.0_03\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\****\jre1.6.0_03\lib\resources.jar » ZIP » ****x/xml/bind/Messages.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\****\jre1.6.0_03\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA}/chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\****\jre6\lib\resources.jar » ZIP » com/sun/org/apache/xerces/internal/impl/msg/XIncludeMessages.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\****\jre6\lib\resources.jar » ZIP » com/sun/xml/internal/fastinfoset/resources/ResourceBundle.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\****\jre6\lib\resources.jar » ZIP » ****x/xml/bind/Messages.properties » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\****\jre6\lib\deploy\ffjcext.zip » ZIP » {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA}/chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\****\jre6\lib\deploy\jqs\ff\chrome.manifest » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\Nero\Nero8\Nero BackItUp\BackItUp_ImageTool\root.img » GZIP » - Archiv beschädigt
C:\Programme\Nero\Nero8\Nero Burning Rom\CDI\CDI_VCD.CFG » MIME - - OK (eingebettete Archive NICHT geprüft)
C:\Programme\NimoCodec Pack\uninstall.exe » NSIS - falsche CRC-Prüfsumme - Datei ist möglicherweise beschädigt
C:\RECYCLER\S-1-5-21-299502267-616249376-725345543-1003\Dc3688.zip » ZIP » gmer.exe - Archiv beschädigt
C:\WINDOWS\system32\CatRoot2\edb.log - Fehler beim Öffnen [4]
C:\WINDOWS\system32\CatRoot2\tmp.edb - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\default - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\default.LOG - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\SAM - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\SAM.LOG - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\SECURITY - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\SECURITY.LOG - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\software - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\software.LOG - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\system - Fehler beim Öffnen [4]
C:\WINDOWS\system32\config\system.LOG - Fehler beim Öffnen [4]
Geprüfte Objekte: 229555
Erkannte Bedrohungen: 0
Abgeschlossen: 21:11:50 Benötigte Zeit: 2305 Sek. (00:38:25)
Hinweise:
[4] Objekt kann nicht geöffnet werden. Möglicherweise in Benutzung durch eine andere Anwendung oder das Betriebssystem.
 
AW: Probleme mit Trojaner/Virus

da sind ja einige dateien die passwort geschützt sind...und wenn ich mir die ansehen von welcher software die sind...
*kopfschüttel*

ich kann anhand der log nichts sagen...
jedoch würde ich dir empfehlen dein system neu zu installieren...
und folgende Software nicht mehr zu benutzen !

Spybot - Search & Destroy -- schon fast selber ein Trojaner
AnyDVD -- meist hat der Key einen Trojaner
IncrediMail -- der größte Spammer seiner Zeit
winamp -- verschiedene Downloads sind mit einem Trojaner versehen.. (auf Prüfsumme achten)

und als erstes würde ich mir ESET installieren !
 
AW: Probleme mit Trojaner/Virus

Kleine Frage:

Benutzt du Firefox? Wenn ja lies mal das hier Klick

MFG
 
AW: Probleme mit Trojaner/Virus

Spybot - Search & Destroy -- schon fast selber ein Trojaner

Die Begründung würde mich mal interessieren.


@16vdriver:
Da die passwortgeschützten Dateien im Ordner "Recover" von Spybot liegen, gehe ich mal davon aus, dass Spybot die darin enthaltenen Schädlinge bei einer früheren Überprüfung gefunden und entfernt hat. Da es aber immer wieder mal zu Fehlalarmen kommen kann, legt Spybot ein Backup an, damit nicht versehentlich wichtige Daten verloren gehen (ähnlich wie Quarantäne bei Virenscannern).

Demnach hast du also folgende Schädlinge gehabt:
- PremiumSearch Spyware
- WhenUSearch Adware (http://www.ca.com/us/securityadvisor/pest/pest.aspx?id=453079971)
- Trojan.PassStealer (Trojan.PassStealer)
- Trojan-Downloader.Win32.Agent.bgy (Trojan-Downloader.Win32.Agent.bgy)
- Trojan-Downloader.Win32.Bagle.hi (Trojan-Downloader.Win32.Bagle.hi)
- Trojan-Spy.Win32.Agent.pz (Trojan-Spy.Win32.Agent.pz)

Und da Bagle mit Rootkits arbeitet, kannst du sicher sein, dass dein System immer noch offen wie ein Scheunentor ist und im Hintergrund fleissig Daten sammelt und Spammails verschickt.

Mach den Rechner schnell platt...

Und die ganzen Trojaner stammen mit Sicherheit von gecrackter Software. Gerade sehr beliebte Software wie AnyDVD, Nero oder eMule werden häufig in einer infizierten Version angeboten, da hat Faber38 vollkommen recht.
 
Zurück
Oben