Sicherheit & Datenschutz

KiLLeR/Style · 28.03.2009, 14:40

sers leute !

Dickes Problem bei mir !
Ich hab ein echt harten trojaner brpcken auf dem rechner, ich weiss wo genau er ist, aber ich kann den iwie nicht löschen mein Antivirus Programm schafft es auch nicht zu löschen! er findet das zwar aber löschen tut es nicht...

Anti-Virus Programme die ich jetzt neu installiert habe um den Virus in den ar.. tretten zu können
helfen auch nicht : Kasperskij, Ad-Aware SE Proffesional und Anti-Trojan 5.5
!

Wie ich denn Virus entdeckt habe? ganz interessant:
eines tages (jetzt vor kurzem) wollte ich mal wieder ein film schaun.. tja geht schlecht wenn man auf seine eigene Platte nicht mehr zugreifen kann! -.- Die meldung die da kommt ist folgende und kommt immer wieder sobald ich auf platte gehen will > D:\resycled\boot.com ist keine zulässige Win32-Anwendung. kurze zeit danach sprang mein Kasperskij wie verrückt...der hatt was von win32 erwähnt.
aber wenn man paar minuten immer wieder auf drauf zugreifen versucht sind ca 50 -100 fehlermeldungen, irgendwann kann man rauf.
aber das war nur die eine ursache wie ich auf den virus gekommen bin, da war noch was... hatte jede halbe stunde pc absturz. (antivirus findet immer wieder denn gleichen trojaner und ich lösche es aber er findet es immer wieder.. was das nur ist , ich hab auch iwo bin ich mit ganz sicher gesehen das da son trojaner downloader sei)

seid gestern habe ich keine abstürtze mehr weil ich schon paar mal meine Programmen durchlaufen lassen habe.
aber dennoch! ich kann immer noch nicht auf platten zugreifen um meine filme etc anzuschaun...-.-
Ach ja! meine Wiederherstellungkonsole funktioniert auch nicht mehr..
kann da wer weiter helfen? Aktueller HijackThis Logfile ist

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 15:39:03, on 28.03.2009
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\ICQ6Toolbar\ICQ Service.exe
D:\Programme\Java\jre6\bin\jqs.exe
D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
D:\WINDOWS\System32\TUProgSt.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\WINDOWS\RTHDCPL.EXE
D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe
D:\Programme\Java\jre6\bin\jusched.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\Dokumente und Einstellungen\Administrator\Desktop\Rapidshare Downloader + Multi Stream Downloader\RSD 0.6\RSD.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
D:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/
R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [AWMON] "D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm
O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll
O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\..\{3D7A6667-7C6E-44FB-B669-4B898255CBD7}: NameServer = 85.255.116.109,85.255.112.103
O17 - HKLM\System\CCS\Services\Tcpip\..\{4172267D-905E-4FE9-A59D-9C878B410234}: NameServer = 85.255.115.91,85.255.112.6
O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C51A0-02EF-4287-BB0D-64E45BD46F4B}: NameServer = 85.255.114.5,85.255.112.147
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6
O17 - HKLM\System\CS2\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6
O17 - HKLM\System\CS3\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL
O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\mzvk bd3.dll
O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: ICQ Service - Unknown owner - D:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe
O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - D:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - D:\WINDOWS\System32\TUProgSt.exe

--
End of file - 9285 bytes

brauche dringend eure hilfe

lg killer/style

*Marko1978* · 28.03.2009, 14:47

fixxen:

R3 - URLSearchHook: (no name) - - (no file)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6

O17 - HKLM\System\CS3\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6

O17 - HKLM\System\CS2\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6

O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C51A0-02EF-4287-BB0D-64E45BD46F4B}: NameServer = 85.255.114.5,85.255.112.147

O17 - HKLM\System\CCS\Services\Tcpip\..\{4172267D-905E-4FE9-A59D-9C878B410234}: NameServer = 85.255.115.91,85.255.112.6

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D7A6667-7C6E-44FB-B669-4B898255CBD7}: NameServer = 85.255.116.109,85.255.112.103

O17 - HKLM\System\CCS\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.

wenn die ips von O17 iwie zu dir gehören..dann lass die einträge

achja.. bei Verdacht auf nen Trojaner würd ich das fixxen sein lasssen->formatieren und neu Aufsetzen
dann biste zu 99% wieder clean

KiLLeR/Style · 28.03.2009, 14:50

Ach ich bin sowieso am ars... Kasperskij meinte das das Programm auf sich hatt meine Daten weiter zu geben und mein Freien Platz nutzen zu können und für irgenwelche illigallen zwecke

auf dem rechner ist eigl nichts womit man was anfangen kann also persöhnliche datein und sowas.

*Poli x* · 28.03.2009, 14:51

R3 - URLSearchHook: (no name) - - (no file) Fixxen

O17 - HKLM\System\CCS\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 Fixxen

O17 - HKLM\System\CCS\Services\Tcpip\..\{3D7A6667-7C6E-44FB-B669-4B898255CBD7}: NameServer = 85.255.116.109,85.255.112.103 Fixxen

O17 - HKLM\System\CCS\Services\Tcpip\..\{4172267D-905E-4FE9-A59D-9C878B410234}: NameServer = 85.255.115.91,85.255.112.6 Fixxen

O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C51A0-02EF-4287-BB0D-64E45BD46F4B}: NameServer = 85.255.114.5,85.255.112.147 Fixxen

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 Fixxen

O17 - HKLM\System\CS2\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 Fixxen

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 Fixxen

O17 - HKLM\System\CS3\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 Fixxen

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 Fixxen

Viren Scanner:
Pc neu Starten und im Abgesicherten modus hochfahren lassen, Danach Anti Vir Starten und scannen lassen, dann sollte der Virus gelöscht sein... nochmals danach adware drüberfahren lassen...

anosnten würde ich da Formatieren bei so einem Trojaner/Virus.

nitro123 · 28.03.2009, 14:55

Wenn er sich nicht löschen lässt dann zieh mal Lan Kabel raus und schalt Wlan ab, je nachdem
wie du verbunden bist und versuch ihn dann nochma zu löschen. Die HighjackThis Einträge wie
oben angegeben auch mal fixxen und wenn garnix hilft dann formatieren

**pyro** · 28.03.2009, 16:53

Code:

D:\Dokumente und Einstellungen\Administrator\Desktop\Rapidshare Downloader + Multi Stream Downloader\RSD 0.6\RSD.exe

Wenn ich sowas schon wieder les. Hättest du mal lieber mit nem eingeschränkten Konto gearbeitet, dann hätte der Trojan nämlich gar keine Rechte gehabt sich ins System einzuhaken.. Aber naja, Bequemlichkeit geht wohl vor

An deiner Stelle würd ich meine wichtigen Daten sichern (natürlich ohne den Trojaner ^^) und danach formatieren. Du kannst dir nie sicher sein, dass du ihn ganz los bist außerdem hat er wahrscheinlich schon dein ganzes System zerstört..

KiLLeR/Style · 28.03.2009, 17:12

ihr wisst ja gar nicht was ich schon alles gemacht habe..
hab schon ohne/mit Internet gescannt aber es hilft nichts.
ich gebe es auf.. muss wohl formatieren.

aber dicken dank an alle die sich hier gemeldet haben!
bw raus!

28.03.2009, 14:40	# 1
KiLLeR/Style File Camper Bewertung: Registriert seit: Sep 2006 Internet: DSL2 16K Beiträge: 233 Power: 19	sers leute ! Dickes Problem bei mir ! Ich hab ein echt harten trojaner brpcken auf dem rechner, ich weiss wo genau er ist, aber ich kann den iwie nicht löschen mein Antivirus Programm schafft es auch nicht zu löschen! er findet das zwar aber löschen tut es nicht... Anti-Virus Programme die ich jetzt neu installiert habe um den Virus in den ar.. tretten zu können helfen auch nicht : Kasperskij, Ad-Aware SE Proffesional und Anti-Trojan 5.5 ! Wie ich denn Virus entdeckt habe? ganz interessant: eines tages (jetzt vor kurzem) wollte ich mal wieder ein film schaun.. tja geht schlecht wenn man auf seine eigene Platte nicht mehr zugreifen kann! -.- Die meldung die da kommt ist folgende und kommt immer wieder sobald ich auf platte gehen will > D:\resycled\boot.com ist keine zulässige Win32-Anwendung. kurze zeit danach sprang mein Kasperskij wie verrückt...der hatt was von win32 erwähnt. aber wenn man paar minuten immer wieder auf drauf zugreifen versucht sind ca 50 -100 fehlermeldungen, irgendwann kann man rauf. aber das war nur die eine ursache wie ich auf den virus gekommen bin, da war noch was... hatte jede halbe stunde pc absturz. (antivirus findet immer wieder denn gleichen trojaner und ich lösche es aber er findet es immer wieder.. was das nur ist , ich hab auch iwo bin ich mit ganz sicher gesehen das da son trojaner downloader sei) seid gestern habe ich keine abstürtze mehr weil ich schon paar mal meine Programmen durchlaufen lassen habe. aber dennoch! ich kann immer noch nicht auf platten zugreifen um meine filme etc anzuschaun...-.- Ach ja! meine Wiederherstellungkonsole funktioniert auch nicht mehr.. kann da wer weiter helfen? Aktueller HijackThis Logfile ist Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:39:03, on 28.03.2009 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: D:\WINDOWS\System32\smss.exe D:\WINDOWS\system32\winlogon.exe D:\WINDOWS\system32\services.exe D:\WINDOWS\system32\lsass.exe D:\WINDOWS\system32\svchost.exe D:\WINDOWS\System32\svchost.exe D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe D:\WINDOWS\system32\spoolsv.exe D:\Programme\ICQ6Toolbar\ICQ Service.exe D:\Programme\Java\jre6\bin\jqs.exe D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe D:\WINDOWS\system32\nvsvc32.exe D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe D:\WINDOWS\System32\TUProgSt.exe D:\WINDOWS\Explorer.EXE D:\WINDOWS\system32\RUNDLL32.EXE D:\WINDOWS\RTHDCPL.EXE D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe D:\Programme\Java\jre6\bin\jusched.exe D:\WINDOWS\system32\ctfmon.exe D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe D:\Programme\Mozilla Firefox\firefox.exe D:\Dokumente und Einstellungen\Administrator\Desktop\Rapidshare Downloader + Multi Stream Downloader\RSD 0.6\RSD.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe D:\Programme\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R3 - URLSearchHook: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll R3 - URLSearchHook: (no name) - - (no file) R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\ievkbd.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programme\Java\jre6\bin\jp2ssv.dll O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - D:\Programme\FlashFXP\IEFlash.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Yahoo! Toolbar mit Pop-Up-Blocker - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQ6Toolbar\ICQToolBar.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [AVP] "D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe" O4 - HKLM\..\Run: [GrooveMonitor] "D:\Programme\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programme\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [AWMON] "D:\Programme\Lavasoft\Ad-Aware SE Professional\Ad-Watch.exe" O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: An vorhandene PDF-Datei anfügen - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: In Adobe PDF konvertieren - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: Linkziel an vorhandene PDF-Datei anhängen - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Linkziel in Adobe PDF konvertieren - res://D:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://D:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: Senden an &Bluetooth-Gerät... - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm O9 - Extra button: Statistik für den Schutz des Web-Datenverkehrs - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\SCIEPlgn.dll O9 - Extra button: An OneNote senden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: An OneNote s&enden - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - D:\Programme\WIDCOMM\Bluetooth Software\btsendto_ie.htm O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - D:\Programme\ICQ6\ICQ.exe O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - D:\Programme\Yahoo!\Common\yinsthelper.dll O17 - HKLM\System\CCS\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\..\{3D7A6667-7C6E-44FB-B669-4B898255CBD7}: NameServer = 85.255.116.109,85.255.112.103 O17 - HKLM\System\CCS\Services\Tcpip\..\{4172267D-905E-4FE9-A59D-9C878B410234}: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C51A0-02EF-4287-BB0D-64E45BD46F4B}: NameServer = 85.255.114.5,85.255.112.147 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS2\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS3\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL O20 - AppInit_DLLs: D:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd.dll,D:\PROGRA~1\KASPER~1\KASPER~1\mzvk bd3.dll O23 - Service: Kaspersky Anti-Virus (AVP) - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus 2009\avp.exe O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - D:\Programme\WIDCOMM\Bluetooth Software\bin\btwdins.exe O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - D:\Programme\MAGIX\Common\Database\bin\fbserver.exe O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Programme\Gemeinsame Dateien\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: ICQ Service - Unknown owner - D:\Programme\ICQ6Toolbar\ICQ Service.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programme\Java\jre6\bin\jqs.exe O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - D:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - D:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe O23 - Service: TuneUp Drive Defrag-Dienst (TuneUp.Defrag) - TuneUp Software - D:\WINDOWS\System32\TuneUpDefragService.exe O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - D:\WINDOWS\System32\TUProgSt.exe -- End of file - 9285 bytes brauche dringend eure hilfe lg killer/style $ KiLLeR/Style $ ;)

28.03.2009, 14:47	# 2
Marko1978 Da geht noch einer! Bewertung: Registriert seit: May 2005 Internet: DSL 6000 Beiträge: 560 Power: 28	fixxen: R3 - URLSearchHook: (no name) - - (no file) O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS3\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CS2\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C51A0-02EF-4287-BB0D-64E45BD46F4B}: NameServer = 85.255.114.5,85.255.112.147 O17 - HKLM\System\CCS\Services\Tcpip\..\{4172267D-905E-4FE9-A59D-9C878B410234}: NameServer = 85.255.115.91,85.255.112.6 O17 - HKLM\System\CCS\Services\Tcpip\..\{3D7A6667-7C6E-44FB-B669-4B898255CBD7}: NameServer = 85.255.116.109,85.255.112.103 O17 - HKLM\System\CCS\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112. wenn die ips von O17 iwie zu dir gehören..dann lass die einträge achja.. bei Verdacht auf nen Trojaner würd ich das fixxen sein lasssen->formatieren und neu Aufsetzen dann biste zu 99% wieder clean Wanna Bang your Mum

28.03.2009, 14:50	# 3
KiLLeR/Style File Camper Bewertung: Registriert seit: Sep 2006 Internet: DSL2 16K Beiträge: 233 Power: 19 Themenstarter	Ach ich bin sowieso am ars... Kasperskij meinte das das Programm auf sich hatt meine Daten weiter zu geben und mein Freien Platz nutzen zu können und für irgenwelche illigallen zwecke auf dem rechner ist eigl nichts womit man was anfangen kann also persöhnliche datein und sowas. $ KiLLeR/Style $ ;)

28.03.2009, 16:53	# 6
pyro teh 1337 Bewertung: Registriert seit: Dec 2006 Internet: >=100Mbit Beiträge: 2.956 Power: 32	Code: D:\Dokumente und Einstellungen\Administrator\Desktop\Rapidshare Downloader + Multi Stream Downloader\RSD 0.6\RSD.exe Wenn ich sowas schon wieder les. Hättest du mal lieber mit nem eingeschränkten Konto gearbeitet, dann hätte der Trojan nämlich gar keine Rechte gehabt sich ins System einzuhaken.. Aber naja, Bequemlichkeit geht wohl vor An deiner Stelle würd ich meine wichtigen Daten sichern (natürlich ohne den Trojaner ^^) und danach formatieren. Du kannst dir nie sicher sein, dass du ihn ganz los bist außerdem hat er wahrscheinlich schon dein ganzes System zerstört..

28.03.2009, 17:12	# 7
KiLLeR/Style File Camper Bewertung: Registriert seit: Sep 2006 Internet: DSL2 16K Beiträge: 233 Power: 19 Themenstarter	ihr wisst ja gar nicht was ich schon alles gemacht habe.. hab schon ohne/mit Internet gescannt aber es hilft nichts. ich gebe es auf.. muss wohl formatieren. aber dicken dank an alle die sich hier gemeldet haben! bw raus! $ KiLLeR/Style $ ;)

28.03.2009, 14:51	# 4
Poli x Master of supply Bewertung: Registriert seit: Dec 2004 Internet: VDSL 50Mbit Beiträge: 1.334 Power: 27	R3 - URLSearchHook: (no name) - - (no file) Fixxen O17 - HKLM\System\CCS\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 Fixxen O17 - HKLM\System\CCS\Services\Tcpip\..\{3D7A6667-7C6E-44FB-B669-4B898255CBD7}: NameServer = 85.255.116.109,85.255.112.103 Fixxen O17 - HKLM\System\CCS\Services\Tcpip\..\{4172267D-905E-4FE9-A59D-9C878B410234}: NameServer = 85.255.115.91,85.255.112.6 Fixxen O17 - HKLM\System\CCS\Services\Tcpip\..\{BE6C51A0-02EF-4287-BB0D-64E45BD46F4B}: NameServer = 85.255.114.5,85.255.112.147 Fixxen O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 Fixxen O17 - HKLM\System\CS2\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 Fixxen O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 Fixxen O17 - HKLM\System\CS3\Services\Tcpip\..\{2C70E39B-4BC9-4961-A47A-AF034403388C}: NameServer = 85.255.115.86,85.255.112.5 Fixxen O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.91,85.255.112.6 Fixxen Viren Scanner: Pc neu Starten und im Abgesicherten modus hochfahren lassen, Danach Anti Vir Starten und scannen lassen, dann sollte der Virus gelöscht sein... nochmals danach adware drüberfahren lassen... anosnten würde ich da Formatieren bei so einem Trojaner/Virus.

28.03.2009, 14:55	# 5
nitro123 Einer geht noch! Bewertung: Registriert seit: Jul 2006 Internet: VDSL 50Mbit Beiträge: 326 Power: 18	Wenn er sich nicht löschen lässt dann zieh mal Lan Kabel raus und schalt Wlan ab, je nachdem wie du verbunden bist und versuch ihn dann nochma zu löschen. Die HighjackThis Einträge wie oben angegeben auch mal fixxen und wenn garnix hilft dann formatieren

Ähnliche Themen
Thema	Autor	Forum	Antworten	Letzter Beitrag
Wie bei namecheap den Nameserver ändern?	sentino	Hosting	1	16.09.2011 20:59
Ordentlichen Nameserver	romestylez	Netzwerk & Internet	6	14.09.2011 12:17
DNS-Nameserver Hosting.. Tests	Fraggdieb	Hosting	2	01.01.2011 20:46
Kostenloses DNS-Nameserver Hosting?	dreamax	Hosting	4	30.12.2010 20:30
Strato Nameserver ausgefallen	Spamm	Szene News & Talk	13	10.08.2006 09:10

Sicherheit & Datenschutz

Trojaner HKLM\System\CCS\Services\Tcpip\Parameters: NameServer