Trojaner beseitigen

RunaLon · 17.12.2007

Hab ein richtig fettes Problem. Hab 2 SCHEISS Trojaner und ich weis nicht was ich machen soll. Ich zeig hier mal was AntiVir sagt.

Jedesmal wenn ich irgendwas aufmach, ist es Firefox oder Arbeitsplatz oder was auch immer, kommt der scheiss. Was kann ich machen und wie kann ich sie beseitgen. Ich hoffe auf schnelle Antwort^^ Ich dreh schon ganz am Rad.

mfg

haxor · 17.12.2007

Im abgesicherten Modus löschen, mit vernünftigem Scanner rübergehen und Hijackthis Log erstellen.

RunaLon · 17.12.2007

Ich konnte die jkhfc.dll Datei im Abgesicherten Modus nicht löschen, aber sie wurde jetzt umbenannt. Bringt das überhaupt was?
Und soll ich die Log Datei mal posten, ist die wichtig?

Jetzt hab ich die eine Datei umbenannt, tauchen auf einmal wieder andere infizierte Dateien auf. Was jetzt?

haxor · 17.12.2007

Umbennen bringt evtl. was, ich halte das aber für eine kosmetische Maßnahme, schließlich ist die Datei dann immer noch da und du kannst nicht beurteilen was sie im Hintergrund anrichtet.
Lade dir den Unlocker und probiere dann erneut, sie zu löschen.
Und ja, so eine Logdatei ist ganz nützlich.

RunaLon · 17.12.2007

Welchen Unlocker meinst du soll ich laden?

Code:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:44:33, on 17.12.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16574)
Boot mode: Normal

Running processes:
F:\WINDOWS\System32\smss.exe
F:\WINDOWS\system32\winlogon.exe
F:\WINDOWS\system32\services.exe
F:\WINDOWS\system32\lsass.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\system32\svchost.exe
F:\WINDOWS\system32\spoolsv.exe
F:\WINDOWS\Explorer.EXE
F:\Programme\AntiVir PersonalEdition Classic\sched.exe
F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
F:\Programme\FRITZ!DSL\IGDCTRL.EXE
F:\Programme\Bonjour\mDNSResponder.exe
F:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
F:\WINDOWS\system32\nvsvc32.exe
F:\WINDOWS\System32\svchost.exe
F:\WINDOWS\SOUNDMAN.EXE
F:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
F:\Programme\ICQLite\ICQLite.exe
F:\Programme\QuickTime\qttask.exe
F:\Programme\DAEMON Tools\daemon.exe
F:\Programme\Spybot - Search & Destroy\TeaTimer.exe
F:\WINDOWS\system32\ctfmon.exe
F:\Programme\FRITZ!DSL\StCenter.exe
F:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak 

Software Updater.exe
F:\Dokumente und Einstellungen\Nico\Desktop\Ordner 1\Programme u. 

Dateien\mousometer.exe
F:\Programme\Mozilla Firefox\firefox.exe
F:\WINDOWS\system32\NOTEPAD.EXE
F:\Dokumente und Einstellungen\Nico\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = 

http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = 

http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = 

http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = 

http://dnl.crawler.com/support/sa_customize.aspx?TbId=66019
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = 

Windows Internet Explorer bereitgestellt von T-Online
O2 - BHO: Yahoo! Toolbar Helper - 

{02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} 

- F:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Flashget Catch Url Class - 

{2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - 

F:\Programme\FlashGet\jccatch.dll
O2 - BHO: BitComet ClickCapture - 

{39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - 

F:\Programme\BitComet\tools\BitCometBHO_1.1.3.28.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - 

F:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {55F3D44A-629F-47E1-9456-35AD6262A488} - 

F:\WINDOWS\system32\jkhfc.dll (file missing)
O2 - BHO: (no name) - {7555906D-70F1-4FD6-8250-4FBE75252F58} - 

F:\WINDOWS\system32\jkkkjif.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - 

F:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: gFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - 

F:\Programme\FlashGet\getflash.dll
O3 - Toolbar: FlashGet - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - 

F:\Programme\FlashGet\fgiebar.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [avgnt] "F:\Programme\AntiVir PersonalEdition 

Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] 

F:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [DaemonTools_WhenUSaveNow_Installer] 

F:\Programme\DaemonTools_WhenUSaveNow_Installer\DaemonTools_WhenUSaveNo

w_Installer.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE 

F:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE 

F:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] "F:\Programme\ICQLite\ICQLite.exe" 

-minimize
O4 - HKLM\..\Run: [QuickTime Task] "F:\Programme\QuickTime\qttask.exe" 

-atboottime
O4 - HKLM\..\Run: [DAEMON Tools] "F:\Programme\DAEMON Tools\daemon.exe" 

-lang 1033
O4 - HKCU\..\Run: [SpybotSD TeaTimer] F:\Programme\Spybot - Search & 

Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Steam] "f:\progra~1\valve\steam\steam.exe" -silent
O4 - HKCU\..\Run: [ctfmon.exe] F:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BitTorrent] "F:\Programme\BitTorrent\bittorrent.exe" 

--force_start_minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE 

(User 'LOKALER DIENST')
O4 - HKUS\S-1-5-19\..\Run: [InfoCockpit] 

F:\Programme\T-Online\T-Online_Software_6\Info-Cockpit\IC_START.EXE 

/nosplash (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE 

(User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE 

(User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] F:\WINDOWS\System32\CTFMON.EXE 

(User 'Default user')
O4 - Startup: Mousometer.lnk = F:\Dokumente und 

Einstellungen\Nico\Desktop\Ordner 1\Programme u. Dateien\mousometer.exe
O4 - Global Startup: FRITZ!DSL Startcenter.lnk = 

F:\Programme\FRITZ!DSL\StCenter.exe
O4 - Global Startup: KODAK Software Updater.lnk = 

F:\Programme\Kodak\KODAK Software Updater\7288971\Program\Kodak 

Software Updater.exe
O4 - Global Startup: Microsoft Office.lnk = F:\Programme\Microsoft 

Office\Office\OSA9.EXE
O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Control Panel 

present
O8 - Extra context menu item: &Alles mit FlashGet laden - 

F:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: &Mit FlashGet laden - 

F:\Programme\FlashGet\jc_link.htm
O8 - Extra context menu item: Download all links using BitComet - 

res://F:\Programme\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - 

res://F:\Programme\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - 

res://F:\Programme\BitComet\BitComet.exe/AddLink.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

F:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - 

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - 

F:\Programme\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Bonjour - {7F9DB11C-E358-4ca6-A83D-ACC663939424} - 

F:\Programme\Bonjour\ExplorerPlugin.dll
O9 - Extra button: PartyPoker.com - 

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - 

F:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra 'Tools' menuitem: PartyPoker.com - 

{B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - 

F:\Programme\PartyGaming\PartyPoker\RunApp.exe (file missing)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - 

F:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - 

{B863453A-26C3-4e1f-A54D-A2CD196348E9} - 

F:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - 

F:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra 'Tools' menuitem: FlashGet - 

{D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - 

F:\PROGRA~1\FlashGet\flashget.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - 

F:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - 

{e2e2dd38-d088-4134-82b7-f2ba38496583} - F:\WINDOWS\Network 

Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - 

F:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - 

{FB5F1910-F110-11d2-BB9E-00C04F795683} - 

F:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.moove.com
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) 

- 

http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/w

uweb_site.cab?1142866958921
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - 

F:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: jkkkjif - F:\WINDOWS\SYSTEM32\jkkkjif.dll
O23 - Service: AntiVir PersonalEdition Classic Planer 

(AntiVirScheduler) - Avira GmbH - F:\Programme\AntiVir PersonalEdition 

Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - 

Avira GmbH - F:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: AVM IGD CTRL Service - AVM Berlin - 

F:\Programme\FRITZ!DSL\IGDCTRL.EXE
O23 - Service: Bonjour Dienst (Bonjour Service) - Apple Computer, Inc. 

- F:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - 

F:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision 

Corporation - F:\Programme\Gemeinsame 

Dateien\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - 

F:\Programme\iPod\bin\iPodService.exe
O23 - Service: T-Online WLAN Adapter Steuerungsdienst (MZCCntrl) - 

Deutsche Telekom AG, Marmiko IT-Solutions GmbH - 

F:\Programme\Gemeinsame Dateien\Marmiko Shared\MZCCntrl.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA 

Corporation - F:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8964 bytes

RunaLon · 17.12.2007

Lohnt sichs zu formatieren?

haxor · 17.12.2007

Ehrlich gesagt habe ich nicht die Zeit, so einen großen Log genau zu durchforsten. Der PC ist gut zugemüllt, ab und an ist Frühjahrsputz nicht verkehrt. Ansonsten bietet es sich an, alle Einträge, in denen auf die zwei DLLs verwiesen wird, zu fixen.

RunaLon · 17.12.2007

haxor schrieb:
Ansonsten bietet es sich an, alle Einträge, in denen auf die zwei DLLs verwiesen wird, zu fixen.

Und wie funktioniert das?^^ Bzw was heisst es, das Einträge auf zwei dlls verwiesen werden?

ppm007 · 17.12.2007

Such in der Registry nach den beiden Dateien und lösche die Schlüssel.
Wenn Du sowas noch nicht gemacht hast, dann ist formatieren das Beste.
Unlocker ist ein Tool: http://www.chip.de/downloads/c1_downloads_18414122.html

Es gibt hartnäckige Trojans, die sperren den Taskmanager, regedit und CMD. Und sichern sich über eine 2.Exe ab. Und loggen Deine Tastaturanschläge. Und schicken das Ganze dann ins Inet.

Wenn Du nur einen Spiele/Internet-PC hast, dann ist Neuinstallation der einfachste Weg.

Sichere aber vorher Emails, Programmeinstellungen, Lizenzen etc.

Beste Grüsse
ppm007

RunaLon · 18.12.2007

Also ich habe beide betroffene Dateien mal umbennant von xxx.dll zu xxx.dll.vir
Dabei wurde die xxx.dll gelöscht. Und dann konnte ich die umbenannte Datei manuell löschen. Und bisher gibt es keine Probleme mehr.

Trojaner beseitigen

RunaLon

haxor

RunaLon

haxor

RunaLon

RunaLon

haxor

RunaLon

ppm007

RunaLon

Trojaner beseitigen

ANGEBOTE & SPONSOREN

Neueste Beiträge

Statistik des Forums