Hilfe beim trojaner löschen!

FOX_decae9 · 10. November 2019 um 22:13

moin,

ein freund hatte sich neulich wohl einen virus eingefangen, auf jeden fall gab es eine .exe die sich beim starten geöffnet hatte und im hintergrund mitlief und im system32 ordner eingenistet hatte.

diese hab ich dann entfernen können und das problem was es gab:

firefox und ie verweisen manchmal irgendwelche links aus der googlesuche auf wahrlose seiten wie ebay oder andere bekannte seiten. außerdem geht der normale explorer nicht mehr, sondern nur die ansteuerung über die linke ordnerleiste wie damals mit windows+e. außerdem lassen sich einige neue programme nicht mehr installieren.

nun suche ich hier rum und finde nichts.
könnte mal bitte jemand die hijack durchschauen?
spybot, superantispyware,antivir und verschiedenste andere programme sind schon durchgelaufen aber finden nichts mehr!

wäre für hilfe sehr dankbar

grüße

FOX

p.s.:

hier die hijack

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 04:53:55, on 04.06.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Sony\HotKey Utility\HKserv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Skype\Phone\Skype.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sony\HotKey Utility\HKWnd.exe
C:\Programme\Skype\Plugin Manager\skypePM.exe
c:\programme\avira\antivir personaledition classic\avcenter.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avscan.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [http://www.robert*****.info/](http://www.robert *****.info/)
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761…
R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://toolbar.ask.com/toolbarv/askRedirect?o=101761…
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://toolbar.ask.com/toolbarv/askRedirect?o=101761…
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://register.hp.com/servlet/WebReg.servlets.Entry…
R3 - URLSearchHook: (no name) - {C94E154B-1459-4A47-966B-4B843BEFC7DB} - (no file)
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Steganos Password Manager AutoFill - {1427A821-7B93-4F08-9A34-9FA03A3D93DB} - C:\Programme\Steganos Privacy Suite 2008\PasswordManagerBHO.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Solid Converter PDF - {259F616C-A300-44F5-B04A-ED001A26C85C} - C:\Programme\SolidDocuments\SolidConverterPDF\SCPDF\ExploreExtPDF.dll
O4 - HKLM…\Run: [avgnt] „C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe“ /min
O4 - HKLM…\Run: [HKSERV.EXE] C:\Programme\Sony\HotKey Utility\HKserv.exe
O4 - HKLM…\Run: [AppleSyncNotifier] C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKCU…\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU…\Run: [Skype] „C:\Programme\Skype\Phone\Skype.exe“ /nosplash /minimized
O4 - HKUS\S-1-5-19…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚LOKALER DIENST‘)
O4 - HKUS\S-1-5-20…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚NETZWERKDIENST‘)
O4 - HKUS\S-1-5-18…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚SYSTEM‘)
O4 - HKUS.DEFAULT…\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User ‚Default user‘)
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra ‚Tools‘ menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra ‚Tools‘ menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra ‚Tools‘ menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/
O15 - Trusted Zone: *.sony-europe.com
O15 - Trusted Zone: *.sonystyle-europe.com
O15 - Trusted Zone: *.vaio-link.com
O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.112.96,85.255.112.11
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer = 85.255.112.96,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.112.96,85.255.112.11
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - AppInit_DLLs: acaptuser32.dll
O23 - Service: Avira AntiVir Personal - Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal - Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe

–
End of file - 7218 bytes

littlePanda · 10. November 2019 um 22:13

Hi

wäre für hilfe sehr dankbar

Nach einem Viren und/oder Trojanerbefall ist es besser das System platt zu machen und neu aufzusetzen. Kein Antivirenprogramm oder Spyboot oder wie auch immer kann Dir „garantieren“, daß auch wirklich jeder Teil des Schadprogammes weg ist. Da hilft nur die Radikalmethode. Wichtige Daten sichern, soferne das nicht ohnehin regelmäßig geschieht, und System neu aufsetzen

Gruß
Edith

FOX_decae9 · 10. November 2019 um 22:13

ja gut das geht dann natürlich immer! aber aus der hijack geht nichts hervor oder? gibts nicht noch andere möglichkeiten weil der ja eigentlich nur kleinere bugs fabriziert hat, die halt ziemlich nerven und deshalb die radikalmethode etwas drastisch wirkt!

trotzdem erstmal danke für die schnelle antwort!

fox

Horst_Bendrich · 10. November 2019 um 22:13

der ja eigentlich nur kleinere bugs fabriziert hat, die halt

Wenn du einen durch Trojaner und deren nachgeladenen digitalen Freunde verseuchten PC als kleinen Bug ansiehst, dann kannst du/oder dein Freund ihn ruhig so lassen. Der Ersteller des Trojaners, wird es ihm sicher danken, wenn er weiter auf dessen Rechner unbemerkt zugreifen kann.

Um dir mal klar zu machen, was ein Trojaner vllt. so treibt, bietet dir Wikipedia genug Lesestoff.

http://de.wikipedia.org/wiki/Trojanisches_Pferd_(Com…

Gruss Horst

Germany_2 · 10. November 2019 um 22:13

Dein Rechner ist komplett verseucht , 8 Funde bei Highjackthis , davon einige besonders schädliche „Freunde“ ! Dein Kumpel soll den PC komplett Neu aufsetzen und keinesfalls versuchen Daten zu retten ! Auch USB-STIFTE sollten gelöscht und Formatiert werden bevor Sie weiterverwendet werden . Das Teil war viel zu lange auf dem Rechner und hat mit Großer Wahrscheinlichkeit alles infiziert was nicht 100% Prozentig gesichert war.

NEU AUFSETZEN OHNE DISKUSSION!!!

Greets Germany 2

herrmann_59614f · 10. November 2019 um 22:13

Besonders nett:

O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer =
85.255.112.96,85.255.112.11
O17 - HKLM\System\CS5\Services\Tcpip\Parameters: NameServer =
85.255.112.96,85.255.112.11
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer =
85.255.112.96,85.255.112.11

Von diesen Nameservern würde ich mir sehr spaßige Auskünfte erwarten - verläßliche allerdings nicht. Der Rechner dürfte längst fester Bestandteil eines Botnetzes sein, dein Freund soll froh sein, dass er ihn noch ein bisschen mitnutzen darf.

Von ‚drastischen Radikalmethoden‘ würde ich hier aber dringend abraten. Du weisst nicht, was die Ukrainermafia mit Computerlaien macht, die sich an ihrem Eigentum vergreifen.

Gruß

deconstruct · 10. November 2019 um 22:14

Dein Kumpel
soll den PC komplett Neu aufsetzen und keinesfalls versuchen
Daten zu retten !

Bitte unterlass es doch, solche hirnrissigen „Tipps“ zu geben. Natürlich sollte er erstmal seine Daten retten oder soll er jetzt seine Urlaubsfotos löschen, weil er sich nen Trojaner eingefangen hat? Dass man danach den Rechner neu aufsetzt, steht natürlich außer Frage.

Also:

**a) Daten retten: Fotos, Dokumente, usw.  
b) Auf sauberem Rechner:   
 Aktuelles Service-Pack fuer das verwendete Betriebssystem   
 herunterladen und auf CD/DVD brennen.  
 Alle Passwörter (ebay, eMail, Banking, usw usf) ändern, da diese   
 potentiell bekannt sind.  
c) Netzwerkkabel ziehen  
d) C:stuck\_out\_tongue:artition formatieren, System neu aufsetzen, das zuvor   
 heruntergeladene Service-Pack installieren  
e) Firewall des Betriebssystems einschalten  
f) Netzwerkkabel wieder einstecken  
g) Alle Updates für das Betriebssystem einspielen und aktuellen   
 Virenscanner aus sicherer Quelle (z.B: Heise Software-Archiv,   
 Zeitschriften-CD) installieren.  
h) Alle externen Speichermedien und alle Partitionen vom Virenscanner   
 durchchecken lassen.  
h) Aktuelle Software aus zuverlässigen Quellen neu installieren.   
 Keine sicheren Quellen sind Tauschbörsen, Crack/Warez-Seiten und   
 andere unsichere Quellen, da diese zum Großteil verseucht sind.  
 Keine alten Versionen installieren, keine Programme die vom   
 verseuchten System stammen installieren.  
 Sichere Quellen sind Original-CDs oder Software-Archive wie Heise   
 Software (http://www.heise.de/software/)  
i) Rechner und Programme an eingene Gewohnheiten anpassen.  
i) Festplatten-Image von C: erstellen z.B. mit Acronis True Image,  
 O&O DiskImage oder ähnlichen Programmen  
j) Jetzt kann man - aber bitte diesmal vorsichtiger - weiterarbeiten:   
 Vorsichtig heisst:  
 - Gehirn einschalten  
 - Nicht alles anklicken was nicht bei drei aufm Baum ist  
 - Regelmäßig Sicherheitsupdates für das Betriebssystem und auch   
 für alle Anwendungen einspielen, insbesondere Programme wie   
 Webbrowser, Mail-Client, Adobe Reader, Browser-Plugins,   
 Mediaplayer, Bildbetrachter, etc.  
 Ein Großteil der Infektionen geschieht über Sicherheitslücken   
 in eben diesen Programmen. Tools wie Secunia PSI helfen einem   
 dabei, zu überprüfen ob die verwendeten Programme noch aktuell  
 sind: http://secunia.com/vulnerability\_scanning/personal/  
 - Keine unbekannten Dateien annehmen in Chats  
 - Keine unbekannten Anhänge öffnen  
 - Keine Software aus unsicherer Quelle installieren  
 - Fremddaten - egal ob von Bekannten/Freunden oder Unbekannten -   
 als potentiell gefährlich behandeln. Mißtrauen ist angesagt.   
 - Nochmal: Gehirn einschalten beim Surfen. Nicht leichtfertig   
 Sachen installieren, nicht leichtfertig persönliche Daten   
 preisgeben.**

deconstruct · 10. November 2019 um 22:14

ja gut das geht dann natürlich immer! aber aus der hijack geht
nichts hervor oder? gibts nicht noch andere möglichkeiten weil
der ja eigentlich nur kleinere bugs fabriziert hat, die halt
ziemlich nerven und deshalb die radikalmethode etwas drastisch
wirkt!

Kleinere Bugs?
Aus dem HijackThis-Log geht hervor, dass auf dem Rechner z.B. ukrainische Nameserver eingetragen sind, die sicher alles mögliche tun, außer korrekte Namensauflösung zu machen. Der Rechner ist von vorne bis hinten komplett verseucht, da wird vom Keylogger zum Ausspionieren des Passworts bis zur Fernsteuer-Software für den netten Herrn aus der Ukraine alles drauf sein, was moderne Schadsoftware zu bieten hat.

Alles andere als ein Neuaufsetzen des Systems ist hier absolut hirnrissig…