Ergebnis 1 bis 9 von 9

Thema: Trojaner oder Wurm

  1. #1

    Trojaner oder Wurm

    Hallo

    Wer kann mir helfen. Irgendwas habe ich mir eingefangen
    und bekomm es auch mit einem Trojanersucher nicht weg.

    Mein Diskettenlaufwerk schaltet sich alle 5 Sekunden ein und dann wieder aus.

    Mozilla aufmachen funktioniert, aber wenn ich unter suchen ein Programm suche z.B. chip, dann werde ich immer auf eine andere Seite weitergeleitet.

    Antivir findet nichts und auch nicht der Trojan Remover.

    Wer weiß einen Rat.

  2. #2
    Hallo Seeb,

    erstelle mal mit HijackThis ein Logfile und poste es hier.

    Gruss Totsch
    „Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen, werdet ihr feststellen, dass man Geld nicht essen kann!“ - (Weissagung der Cree)

  3. #3

    Hoffe das stimmt

    Logfile of Trend Micro HijackThis v2.0.4
    Scan saved at 15:31:28, on 12.12.2010
    Platform: Windows XP SP3 (WinNT 5.01.2600)
    MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
    Boot mode: Normal

    Running processes:
    C:\WINDOWS\System32\smss.exe
    C:\WINDOWS\system32\csrss.exe
    C:\WINDOWS\system32\winlogon.exe
    C:\WINDOWS\system32\services.exe
    C:\WINDOWS\system32\lsass.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\System32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\spoolsv.exe
    C:\WINDOWS\Explorer.EXE
    C:\Programme\Avira\AntiVir Desktop\sched.exe
    C:\Programme\a-squared Free\a2service.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\Programme\Avira\AntiVir Desktop\avguard.exe
    C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    C:\Programme\Java\jre6\bin\jqs.exe
    C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    C:\Programme\Avira\AntiVir Desktop\avshadow.exe
    C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
    C:\WINDOWS\system32\nvsvc32.exe
    C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe
    C:\Programme\Avira\AntiVir Desktop\avgnt.exe
    C:\WINDOWS\system32\svchost.exe
    C:\WINDOWS\system32\ctfmon.exe
    C:\WINDOWS\System32\TUProgSt.exe
    C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
    C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\WINDOWS\System32\alg.exe
    C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
    C:\WINDOWS\system32\wbem\wmiapsrv.exe
    C:\Programme\Mozilla Firefox\firefox.exe
    C:\Dokumente und Einstellungen\König\Desktop\Programme\Sicherheit\ stinger399.exe
    C:\Programme\Trojancheck 6\tcguard.exe
    C:\Programme\Avira\AntiVir Desktop\avcenter.exe
    C:\Programme\Avira\AntiVir Desktop\avscan.exe
    C:\WINDOWS\System32\vssvc.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\dllhost.exe
    C:\WINDOWS\system32\msdtc.exe
    C:\Programme\Messenger\msmsgs.exe
    C:\DOKUME~1\KNIG~1\LOKALE~1\Temp\Nvd.exe
    C:\Dokumente und Einstellungen\König\Eigene Dateien\Downloads\HiJackThis.exe

    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Nachrichten - Service - Shopping bei t-online.de
    R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Programme\Winamp Toolbar\winamptb.dll
    R3 - URLSearchHook: (no name) - {00000000-6E41-4FD3-8538-502F5495E5FC} - (no file)
    R3 - URLSearchHook: (no name) - {1d8566bd-f06f-4029-a3be-ba80af5a09f3} - (no file)
    R3 - URLSearchHook: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,,,C:\Pro gramme\PtEDRoLU\ikpqsipo.exe
    O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
    O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Programme\Winamp Toolbar\winamptb.dll
    O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll
    O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
    O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Programme\Microsoft Office\Office12\GrooveShellExtensions.dll
    O2 - BHO: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
    O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
    O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
    O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
    O3 - Toolbar: (no name) - {1d8566bd-f06f-4029-a3be-ba80af5a09f3} - (no file)
    O3 - Toolbar: Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Programme\Winamp Toolbar\winamptb.dll
    O3 - Toolbar: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
    O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll
    O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
    O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
    O4 - HKLM\..\Run: [TrojanScanner] C:\Programme\Trojan Remover\Trjscan.exe /boot
    O4 - HKCU\..\Run: [JP595IR86O] C:\DOKUME~1\KNIG~1\LOKALE~1\Temp\Nvd.exe
    O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
    O4 - HKCU\..\Run: [{54191D71-0B17-82F6-D9DE-655701961414}] "C:\Dokumente und Einstellungen\König\Anwendungsdaten\Atipb\avid.ex e"
    O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
    O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
    O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
    O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
    O8 - Extra context menu item: &Winamp Search - C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html
    O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
    O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
    O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
    O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
    O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
    O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
    O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
    O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
    O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
    O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
    O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
    O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Programme\Microsoft Office\Office12\GrooveSystemServices.dll
    O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
    O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
    O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Programme\a-squared Free\a2service.exe
    O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
    O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
    O23 - Service: Capture Device Service - InterVideo Inc. - C:\Programme\Gemeinsame Dateien\InterVideo\DeviceService\DevSvc.exe
    O23 - Service: Droppix Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Droppix\DxService.exe
    O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\MAGIX\Common\Database\bin\fbserver.exe
    O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
    O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
    O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
    O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Programme\Nero\Nero8\Nero BackItUp\NBService.exe
    O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Nero BackItUp 4\NBService.exe
    O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Nero\Lib\NMIndexingService.exe
    O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
    O23 - Service: PC Tools Startup and Shutdown Monitor service (PCToolsSSDMonitorSvc) - Unknown owner - C:\Programme\Gemeinsame Dateien\PC Tools\sMonitor\StartManSvc.exe
    O23 - Service: ServiceLayer - Nokia. - C:\Programme\PC Connectivity Solution\ServiceLayer.exe
    O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpDefragService.exe
    O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
    O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Programme\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe
    O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programme\Gemeinsame Dateien\Ulead Systems\DVD\ULCDRSvr.exe

  4. #4
    Hallo, mir fällt in deiner ewig langen Liste an genutzen oder auch weniger genutzen Diensten und Browsererweiterungen folgendes auf:

    C:\DOKUME~1\KNIG~1\LOKALE~1\Temp\Nvd.exe
    dazu von einer Antivirenwebseite, ist bei dir ja auch im teporären Verzeichnis, also eventuell durch einen Download herbeigeholt

    O4 - HKCU\..\Run: [JP595IR86O] C:\DOKUME~1\KNIG~1\LOKALE~1\Temp\Nvd.exe
    dies Viech hat sich also auch im Autostart eingetragen? Oder steht Punkt O4 für etwas anderes? Was bedeutet [JP595IR86O] an diesem Eintrag? Sagt Hijackthis etwas dazu?

    Dait solltest du dich nun auseinadersetzen. Diese Dateien eventuell im abgesicherten Modus löschen und auch die Festplatte nach weiteren Erscheinungsorten durchsuchen.
    Hier gehts zu meinem kleinen Bücherregal, such dir etwas aus!
    Irgendwo müsste es auch noch die Musiksammlung geben...

  5. #5
    Hi,

    folgende Einträge unbedingt mit HijackThis fixen (am besten im abgesicherten Modus!!):
    C:\DOKUME~1\KNIG~1\LOKALE~1\Temp\Nvd.exe
    R3 - URLSearchHook: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
    O2 - BHO: softonic-de3 Toolbar - {cc05a3e3-64c3-4af2-bfc1-af0d66b69065} - C:\Programme\softonic-de3\tbsoft.dll
    O2 - BHO: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll
    O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: (no name) - {1d8566bd-f06f-4029-a3be-ba80af5a09f3} - (no file)
    O3 - Toolbar: Sopcast Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - (no file)
    O3 - Toolbar: Conduit Engine - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Programme\ConduitEngine\ConduitEngine.dll

    - Anschliessend Festplatte und Registry durchsuchen nach Nvd.exe , tbsoft.dll und ConduitEngine.dll bzw. ConduitEngine und Ergebnisse löschen.
    - Systemwiederherstellung deaktivieren >> Neustart und danach wieder aktivieren.
    - System scannen mit Spybot!

    Gruss Totsch
    „Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen, werdet ihr feststellen, dass man Geld nicht essen kann!“ - (Weissagung der Cree)

  6. #6

    Trojaner

    Herzlichen Dank einstweilen.

    Ich muss mich erst durchkämpfen durch den Datenwust,
    bin kein Profi.

    Hole mir noch meinen Sohn dazu und ich hoffe dass es dann klappt.
    Habe auch schon vor meinen Hilferuf in der msconfig im Systemstart
    die Datei mit dem Ende Nvd.exe zu löschen, aber vergeblich, kommt immer wieder.

    Herzlichen Dank einstweil.

    Wenn euch noch war einfällt gebt bitte bescheid.

  7. #7
    Zitat Zitat von Seeb Beitrag anzeigen
    Habe auch schon vor meinen Hilferuf in der msconfig im Systemstart
    die Datei mit dem Ende Nvd.exe zu löschen, aber vergeblich, kommt immer wieder.
    Hi

    Versuche, die Datei mit dem Programm OT-Move-It (OTMoveIt) zu löschen! Das sollte gehen, falls eine andere Datei (oder Prozess) dir den Zugriff verweigert.

    Starte das Programm, und kopiere dann ins linke Fenster ("Paste Instructions for Items to be Moved") folgenden Text rein:
    Code:
    :files
    C:\DOKUME~1\KNIG~1\LOKALE~1\Temp\Nvd.exe
    Klicke dann auf "Move it". Poste das Log, welches im rechten Fenster erscheint!

    Wie aus deinem Log hervorgeht, hast du zahlreiche nicht unbedenkliche Toolbars installiert. Öffne die Systemsteuerung und versuche folgende Programme (die Namen können etwas anders sein) zu deinstallieren:
    • Softonic Toolbar
    • Conduit Engine
    • Ask Toolbar
    • Sopcast Ask Toolbar

    Falls das nicht gehen sollte, melde dich!

    Lade dir denn CCleaner und lasse die temporären Dateien und die Registry bereinigen (die Registry musst du mehrmals säuber und mache davor unbedingt ein Backup!)

    Noch etwas: Vertraust du folgendem Programm bzw. kennst du es?
    "C:\Dokumente und Einstellungen\König\Anwendungsdaten\Atipb\avid.ex e"

    Mache dann am Schluss ein neues HJT-Log und poste es. Berichte, ob die Probleme weiterhin bestehen.

  8. #8
    Zitat Zitat von Seeb Beitrag anzeigen
    Wenn euch noch war einfällt gebt bitte bescheid
    uns kann nur noch etwas einfallen, wenn du erst einmal Bescheid gibst, ob inzwischen mit Hilfe deine Sohnes wieder alles o.k. ist und dein Firefox wieder ordnungsgemäss läuft.
    Nachdem du nun alle o.g. Hinweise erledigt hast, solltest du noch einmal ein Logfile posten, damit man sehen kann, ob alles i.O. ist.

    Gruss Totsch
    „Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen, werdet ihr feststellen, dass man Geld nicht essen kann!“ - (Weissagung der Cree)

  9. #9
    Probier doch mal im abgesicherten Modus zu Booten.
    Dann lädst du dir mal WhatsInStartUp von Nirsoft.net runter und schaust die Einträge mal an, bzw. postest sie hier!

Ähnliche Themen

  1. Suche nhl09 !!
    Von pes2009 im Forum [Suche] & [Umfrage] für Gamez
    Antworten: 0
    Letzter Beitrag: 26.12.2008, 11:46
  2. FunPhotor
    Von Reinhard im Forum Suche Software
    Antworten: 0
    Letzter Beitrag: 20.07.2008, 13:50
  3. Windows.XP.7in1.Deutsch.inkl.SP3
    Von nino2603 im Forum PC- OS, Systemtuning & -sicherheit
    Antworten: 62
    Letzter Beitrag: 12.06.2008, 12:38
  4. Lan - gefährlich für Hardware?=
    Von Hackmanno1 im Forum Off-Topic
    Antworten: 13
    Letzter Beitrag: 16.02.2006, 15:02
  5. music match 8.2 eng
    Von redrow111 im Forum Cracks & Serials für Software
    Antworten: 2
    Letzter Beitrag: 18.06.2004, 15:43

Berechtigungen

  • Neue Themen erstellen: Nein
  • Themen beantworten: Nein
  • Anhänge hochladen: Nein
  • Beiträge bearbeiten: Nein
  •