Forum
Tipps
News
Menu-Icon

Trojaner

Hallo, habe mit etwas eingefangen und bin sehr schnell an meine Grenzen gekommen.
Antivir meldete mir Trojaner, die sich nicht entfernen ließen. Habe mich durchs Forum gelesen und folgendes bereits versucht:
Systemwiederherstellung deaktiviert
CCleaner und Antivir im abgesicherten Modus laufen lassen und danach Hijack. Den Log poste ich anschließend.
Malware und Spybot lassen sich nicht starten.
Im Grunde läuft der Rechner auch "normal". Der Internetexplorer schließt sich "nur" gerne von selbst und die Google-Links führen auch mich zu ungewollten Seiten.
Ich habe von dem ganzen Computerdrumrum absolut NullKommmaNull Ahnung.
Falls mir jemand einen Tipp geben möchte, bitte ich darum, dass ihr versucht, mir das so zu erklären als sei ich erst 2 Jahre alt.
Ich danke schon mal.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:56:03, on 19.02.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
F:\Programme\ad-aware\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre6\bin\jusched.exe
C:\PROGRA~1\HEWLET~1\HPSHAR~1\hpgs2wnf.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Java\jre6\bin\jqs.exe
F:\Programme\CDBurnerXP\NMSAccessU.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
F:\Programme\Malwarebytes' Anti-Malware\mbam.exe
C:\Programme\Internet Explorer\iexplore.exe
F:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.waz.de/
O2 - BHO: C:\WINDOWS\system32\hs78344kjkfd.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hs78344kjkfd.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Share-to-Web Namespace Daemon] C:\Programme\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [cogad] "C:\Dokumente und Einstellungen\Molly\Anwendungsdaten\cogad\cogad.exe" 61A847B5BBF72813329D31466188719AB689201522886B092CBD44BD8689220221DD3 257
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Google-Suche - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: &Ins Deutsche übersetzen - res://c:\programme\google\GoogleToolbar2.dll/cmwordtrans.html
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\WINDOWS\bdoscandel.exe
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - F:\Programme\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - F:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - F:\Programme\ICQ6\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} (Image Uploader Control) - http://static.pe.meinvz.net/photouploader/ImageUploader5.cab?nocache=1226685852
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab
O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/softwareupdate/su2/ocx/15106/CTPID.cab
O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hs78344kjkfd.dll
O22 - SharedTaskScheduler: erajhsf8743kjrngjnf - {D5BF4552-94F1-42BD-F434-3604812C807D} - C:\WINDOWS\system32\gyuvgfytre56yftyd.dll
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - F:\Programme\ad-aware\aawservice.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Defragmentation-Service (DfSdkS) - mst software GmbH, Germany - F:\Programme\Ashampoo WinOptimizer 6\Dfsdks.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NMSAccessU - Unknown owner - F:\Programme\CDBurnerXP\NMSAccessU.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PLFlash DeviceIoControl Service - Unknown owner - C:\WINDOWS\system32\IoctlSvc.exe (file missing)
O23 - Service: Speed Disk service - Symantec Corporation - C:\PROGRA~1\NORTON~1\NORTON~1\SPEEDD~1\NOPDB.EXE
O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

--
End of file - 8591 bytes
 



Antworten zu Trojaner:

Hiho,

versuche dann Marlwarebyts im abgesicherten Modus zu interlieren und dann im abgesicherten Modus scanen !

b]Anleitung:[/b]

Anleitung+Downloadlink

Aber VORHER:

bei Virus total hochladen und scanen lassen anschliesend fixen:
O2 - BHO: C:\WINDOWS\system32\hs78344kjkfd.dll - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hs78344kjkfd.dll

O22 - SharedTaskScheduler: jgzfkj9w38rksndfi7r4 - {C5BF49A2-94F3-42BD-F434-3604812C8955} - C:\WINDOWS\system32\hs78344kjkfd.dll

O22 - SharedTaskScheduler: erajhsf8743kjrngjnf - {D5BF4552-94F1-42BD-F434-3604812C807D} - C:\WINDOWS\system32\gyuvgfytre56yftyd.dll



Fixen:

O3 - Toolbar: (no name) - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - (no file)

O4 - HKCU\..\Run: [cogad] "C:\Dokumente und Einstellungen\Molly\Anwendungsdaten\cogad\cogad.exe" 61A847B5BBF72813329D31466188719AB689201522886B092CBD44BD8689220221DD3 2 57

 

Hallo und danke für die schnelle Antwort.
Malware läuft auch im abgesicherten Modus nicht und die Homepage von VirusTotal wird ebenfalls blockiert. Es erscheint die Meldung:
Der Server unter www.virustotal.com konnte nicht gefunden werden.

Gibt es eine andere Möglichkeit?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

versuch combofix:

http://virus-protect.org/artikel/tools/combofix.html
wenn combofix.exe nicht läuft benenne sie in
fioerze.exe um und versuche erneut

Auch das funktioniert nicht.
Es erscheint die Fehlermeldung: Der Download kann nicht gespeichert werden, weil ein unbekannter Fehler aufgetreten ist.Bitte versuchen Sie es nochmals.

Auch die Hilfe-Tipps auf dieser Seite mit FixPolicies.exe gehen nicht, da sich das zwar auf dem Desktop speichern, aber nicht ausführen lässt.

Da bleibt Dir wohl nix anderes als eine Neuinstall übrig, scheint ja garnix mehr zu laufen auf Deinem System.....

Hiho,

dann mache am besten eine Neuinstallation,bei dir geht ja nichs mehr :)

Anleitung für eine Neuaufsetzung

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Hallo,
hast du einen zweitpc zur verfügung?

 

Zitat
dann mache am besten eine Neuinstallation,bei dir geht ja nichs mehr

Gut "nachgeplappert"! Gibt wieder einen Punkt mehr,was? 8)

Plitschplatsch,wenn du auf die uhrzeit gucken würdes siehst du das wir es zimlich gleichzeitig gepostet haben..

Habe leider keinen Zweit-PC. Ich werde mich wohl an die Neuinstallation wagen müssen, die ich nur als allerletzen Ausweg gesehen habe.  :-\

 

Zitat
zimlich gleichzeitig gepostet

Sorry, stimmt! garnicht hingesehen...
Nicht so tragisch nehmen....  :-\;)

 

Zitat
Neuinstallation
Vielleicht solltest Du mal über ein Image-Programm wie Acronis True Image nachdenken, holt man sich Schädlinge auf das System und hat man dann 1 sauberes Systemimgae parat: 20 min und der Apfel ist gegessen.
Erspart eine Neuinstallation und die Daten sind auch nicht futsch!
Nebenbei kann man sogar die Füße hochlegen. 

Hinterher ist man immer schlauer  ():-)
Ich werde es mir merken.
Falls ich doch nen Zwei-PC finde...was kann ich damit machen?

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

hallo
C:\WINDOWS\system32\hs78344kjkfd.dll
bitte mit winzip oder winrar packen, passwort
infected
maile die datei mal bitte an meine mailadresse, die siehst du in meiner signatur. die datei ist, wie es aussieht, recht neu.
Ich möchte sie an antivirenhersteller weitersenden!

Kann sie doch zu Virus Total hochladen und checken lassen(ohne sie zu packen): http://www.virustotal.com/de/

Wenn sie überhaupt Mailen kann bzw, ins NET kommt mit ihrer "Kiste"..

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

auf seite 1 steht doch das das net geht... außerdem hab ich die schneller vdersendet als vt das tut ;-)

In der Hoffnung, alles richtig gemacht zu haben, ist die Mail unterwegs.

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

hallo ist ok neues file. ich sende dir combofix versuch das mal bitte auszufüren habs schon umbenannt ;-)


« Malwarebytes AnleitungFrage zu Sygate Firewall 5.5 »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!

Fremdwörter? Erklärungen im Lexikon!
Trojaner
Als Trojanisches Pferd, kurz auch Trojaner, versteht man Computerprogramme, die getarnt von einer nützlichen Anwendung, ohne Wissen des Anwenders im Hintergrund Scha...

Systemwiederherstellung
Microsoft hat mit Windows ME die  Systemwiederherstellung eingeführt: Während des Betriebes lassen sich "Wiederherstellungspunkte" setzen, auf die spä...

HiJackThis
Unter dem Begriff HiJackThis verbirgt sich ein  Sicherheitsprogramm, dass den Computer nach Schad-Programmen und Viren durchsucht. Dazu werden spezielle Bereiche in ...