So weit so gut,
dein PC ist wieder Clean !
Nur ein paar harmlose Infektionsreste sind noch in der Registry zu sehen.
Fixe diese noch mit dem HijackThis:
O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - C:\WINDOWS\system32\efcyyvu.dll (file missing)
O2 - BHO: (no name) - {57E218E6-5A80-4f0c-AB25-83598F25D7E9} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {DFC6C83A-3F09-47B6-94D0-7499E3409E02} - C:\WINDOWS\system32\gebcb.dll (file missing)
O2 - BHO: (no name) - {E3D19FE1-D421-4E8B-A80B-A3792C95DE5e} - C:\WINDOWS\system32\pttpdgjp.dll (file missing)
O4 - HKLM\..\Run: [syswin] C:\WINDOWS\system32\v6.exe
O4 - HKLM\..\Run: [SoundService] rundll32.exe "C:\WINDOWS\system32\huiwalpy.dll",setvm
O20 - Winlogon Notify: efcyyvu - efcyyvu.dll (file missing)
O20 - Winlogon Notify: gebcb - C:\WINDOWS\system32\gebcb.dll (file missing)
O20 - Winlogon Notify: hggdaxx - hggdaxx.dll (file missing)
O20 - Winlogon Notify: ljjghef - ljjghef.dll (file missing)
O20 - Winlogon Notify: pmnlihe - pmnlihe.dll (file missing)
O20 - Winlogon Notify: vtusrqq - vtusrqq.dll (file missing)
O20 - Winlogon Notify: winwim32 - winwim32.dll (file missing)
Prüfe nach dem fixen ob alle o.g. Einträge nicht mehr vorhanden sind.
Sollte dies nicht der Fall, dann melde dich noch mal hier.
Ansonsten wünsche ich die viel Spass beim Surfen und eine Virenfreie Zeit.
Hallo,
kannst du mir viellicht noch einmal helfen? Ich habe von der Band und von E-Bay eine Mitteilung bekommen, dass sich bei mir ein Trojaner oder Spyware eingeschlichen hat, ich möchte jetzt ganz gerne wissen, ob wir das schon gelöscht haben? Möchte sonst leiber mein online Banking nicht wieder freischalten lassen. Wäre nett wenn du mir noch einmal helfen könntest.
LG Ani0502
Hallo Ani0502,
nach dem letzten Stand ist dein System sauber.
Ich Frage mich jetzt nur, wie die Bank und Ebay das von der Infektion mitbekommen haben.
Um kein Risiko einzugehen, z.B. der PC ist bereits wieder Infiziert, wiederhole die Aktion mit
- CCleaner
- Onlinescan F-Secure
- HijackThis
poste das Ergebnis.
Wenn du später wieder Online gehst, ändere auf jeden Fall alle deine Passwörter zur Sicherheit!
@HELP
was hälst Du davon?
http://www.sophos.com/security/analyses/trojagentecu.html
Der wurde schon aus dem Verkehr gezogen!
Aber du willst mir bestimmt sagen, das er die Daten von Ebay und der Bank gestohlen hat.
Das ist mir schon bewusst, da wir aber nur einen kleinen Teil der Geschichte des PCs kennen, kann dies nur vermutet werden. Es gibt da noch ein paar andere Möglichkeiten, die wir aber auch nicht nachweisen können.
Fakt ist, wenn sich der letzte Stand nicht geändert,
das Ani0502`s PC heute Clean ist!
Aber darf nur seine alten Passwörter nicht verwenden !
Hallo,
muß ich dann nur die Passwörter von der Bank und E-Bay ändern? Oder auch alle Anderen?
Lg Ani0502
ALLE !!!
habe jetzt mit F-Secure gescannt, ich habe schon wieder Viren auf dem Pc,funktioniert mein Avast garnicht????????
Result: 7 malware found
Tracking Cookie (spyware)
System (Disinfected)
Vundo.gen11 (virus)
C:\AVENGER\GEBCB.DLL
Vundo.gen14 (virus)
C:\AVENGER\EFCYYVU.DLL (Submitted)
C:\AVENGER\LJJGHEF.DLL (Submitted)
C:\AVENGER\PMNLIHE.DLL (Submitted)
C:\AVENGER\VTUSRQQ.DLL (Submitted)
WinAntiVirusPro (spyware)
System (Disinfected)
--------------------------------------------------------------------------------
Statistics
Scanned:
Files: 25730
System: 3825
Not scanned: 3
Actions:
Disinfected: 2
Renamed: 0
Deleted: 0
None: 5
Submitted: 4
Files not scanned:
C:\HIBERFIL.SYS
C:\PAGEFILE.SYS
C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT
--------------------------------------------------------------------------------
Options
Scanning engines:
F-Secure Libra: 2.4.2, 2007-04-17
F-Secure AVP: 7.0.171, 2007-04-18
F-Secure Orion: 1.2.37, 2007-04-18
F-Secure Blacklight: 1.0.53, 0000-00-00
F-Secure Draco: 1.0.35, 2007-04-10
F-Secure Pegasus: 1.19.0, 2007-03-12
Scanning options:
Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML
Logfile of HijackThis v1.99.1
Scan saved at 14:19:13, on 18.04.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Mixer.exe
C:\Programme\Java\jre1.5.0_11\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe
C:\Programme\Babylon\Babylon-Pro\Babylon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe
C:\PROGRA~1\GEMEIN~1\Nokia\MPAPI\MPAPI3s.exe
C:\PROGRA~1\GEMEIN~1\PCSuite\Services\SERVIC~1.EXE
C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRA~1\T-Online\T-ONLI~1\Notifier\Notifier.exe
C:\PROGRAMME\T-ONLINE\T-ONLINE_SOFTWARE_6\BROWSER\BROWSER.EXE
C:\Programme\Adobe\Reader 8.0\Reader\AcroRd32.exe
C:\DOKUME~1\schwab\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fsgk32.exe
C:\DOKUME~1\schwab\LOKALE~1\Temp\OnlineScanner\Anti-Virus\fssm32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\DOKUME~1\schwab\LOKALE~1\Temp\Temporäres Verzeichnis 3 für hijackthis.zip\HijackThis.exe
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.quelle.de/is-bin/INTERSHOP.enfinity/WFS/Quelle-quelle_de-Site/de_DE/-/EUR/Q_ViewStatic-ViewPopup;sid=clgiG-9Xxz0gG6qWgO-GTfv7EqmJwdSTyDU_Sqd1?CategoryName=1&Template=static%2Fq_welcome_popup&OmitHTMLWrapper=1&GoodbyePage=http%3A//www.quelle.de/is-bin/INTERSHOP.enfinity/WFS/Quelle-quelle_de-Site/de_DE/-/EUR/Q_BrowseCatalog-Start%3Bsid%3DclgiG-9Xxz0gG6qWgO-GTfv7EqmJwdSTyDU_Sqd1%3FCategoryName%3D50000880%26From%3DCustomerBanner%26HTTPProtocol%3Dhttp%26HTTPPort%3D80%26Linktype%3DCB
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: XTTBPos00 Class - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Programme\ICQToolbar\toolbaru.dll
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: EWPBrowseObject Class - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Programme\Canon\Easy-WebPrint\EWPBrowseLoader.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programme\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_11\bin\jusched.exe"
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_6\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [DataLayer] C:\Programme\Gemeinsame Dateien\PCSuite\DataLayer\DataLayer.exe
O4 - HKLM\..\Run: [PCSuiteTrayApplication] C:\Programme\Nokia\Nokia PC Suite 6\LaunchApplication.exe -onlytray
O4 - HKLM\..\Run: [Babylon Client] C:\Programme\Babylon\Babylon-Pro\Babylon.exe -AutoStart
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [PcSync] C:\Programme\Nokia\Nokia PC Suite 6\PcSync2.exe /NoDialog
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Programme\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: Easy-WebPrint - Drucken - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html
O8 - Extra context menu item: Easy-WebPrint - Schnelldruck - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint - Vorschau - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint - Zu Druckliste hinzufügen - res://C:\Programme\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Translate with &Babylon - res://C:\Programme\Babylon\Babylon-Pro\Utils\BabylonIEPI.dll/Translate.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game11.zylom.com/activex/zylomgamesplayer.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{A6CDEF56-2343-44E5-849A-9781DE5CCAD1}: NameServer = 217.237.151.205 217.237.150.205
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - Deutsche Telekom AG, Marmiko IT-Solutions GmbH - C:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
Nein Ani05202,
dein PC ist nicht schon wieder mit Malware infiziert- der ist sauber!
Was F-Secure hier gefunden hat, sind zum einen nur die Sicherungsdateien vom Tool Avenger
C:\AVENGER\GEBCB.DLL
C:\AVENGER\EFCYYVU.DLL (Submitted)
C:\AVENGER\LJJGHEF.DLL (Submitted)
C:\AVENGER\PMNLIHE.DLL (Submitted)
C:\AVENGER\VTUSRQQ.DLL (Submitted)
und zum anderen einen passiven Rest von Sysware
WinAntiVirusPro
System
Wie gesagt, dein PC ist nach wie vor Clean, du musst nur deine Passwörter ändern.
Danach kannst du ohne Bedenken wieder Onlinebanking, Ebay etc. ausüben.
Tipp:
Wenn du im Jahr 20 bis 25 Euro in eine Antivirussoftware investierst,
bekommt du z.b. mit Kaspersky Antivirus oder AntiVir PersonalEdition Premium ein viel besseres Schutzprogramm als mit Avast. Bedenke aber, das kein Antivirusprogramm dich zu 100% vor Malware schützen kann.
Hallo,
da bin ich jetzt aber beruhigt. Hab noch mal eine (blöde)Frage, wie kann ein Hacker meine Passwörter sehen? Hab sie doch nicht auf dem Pc gespeichert, ich vergesse sie manchmal ja selbst,:)
Noch mal danke für die schnelle und gute Hilfe, mein Pc läuft wieder super.
LG Ani0502
Hab noch mal eine (blöde)Frage, wie kann ein Hacker meine Passwörter sehen? Hab sie doch nicht auf dem Pc gespeichert, ich vergesse sie manchmal ja selbst,:)
z.b.
- nach Passwörtern auf dem PC suchen
- Einsatz durch Keylogger
- Mitschneiden des Internetverkehrs
- Umleitung auf eine nacherfundene Webseite
- Gefälschte Aufforderung über ein Popup
- Phishing über gefakte Mails
« Wir haben ein Viren Problem ,mit einem Trojanischen Pferd und Appl/KillApplicat | Geblockte Cookies » | ||