Trojaner!? Ich bitte dringend um Rat

#1 Hallo Ihr Experten!!
Erstmal *Hut ab* vor eurem Wissen - ich vergehe hier fast vor lauter scan und logfiles und so weiter... sitze schon den ganzen Tag hier um den Trojaner endlich zu bekommen... aber ich schaff es einfach nicht.

Kann ich mal Highjack logfile und e-scan logfile reinstellen? Vielleicht kann mir jemand helfen.. ich dreh bald durch und ehrlich gesagt, bin ich schon leicht panisch... leider hab ich nicht so den Durchblick mit PCs und Viren und dem ganzen Mist.

Ich wäre euch sehr sehr dankbar, wenn ihr euch das mal anschauen könntet....

Viele liebe Grüße aus München,
Jules

#2

Zitat

Kann ich mal Highjack logfile und e-scan logfile reinstellen?

Für den Anfang reicht ein Hijackthis-Log.

http://board.protecus.de/t9373.htm
und
http://board.protecus.de/t9391.htm
mal durchlesen
__________
Durchsuchen --> Aussuchen --> Untersuchen

#3 du meinst bestimmt: trojaner wegzubekommen...
also :
1.) was macht denn der trojaner???
2.) mach ma schnell nen backup deiner platte
3.) hol dir erstma irgendeine firewall die das nötige blockt
4.) setze bei InternetExplorer (fallste benutzt) die vertrauenswürdigen seiten auf sicherheitsbeschränkung mittel oder höher -> trojaner oder hijacker setzen sich über die vertrauenswürdigen seiten ab und lassen so über den InternetExplorer die nötige schädliche software rein

bei trojaner würde ich vorsichtig sein und mich erstmal so gut wie geht von verschiedenen ports trennen.das einzige was de brauchst ist port 80.
vorsicht auch auf port 135 und (glaub ich) 445 (könnte auch 440 sein), jedenfalls die ports über die windows das netzwerk macht.

ps: trojaner bekommst du nur schwer oder garnicht weg.
auch ein noch so gut geschützter pc wo vorher einer drauf war ist nicht mehr sicher!!!
__________
Wasser ist kostbar...verdünt es!!!

#4 hijack logfile hab ich hier... mein e-scan hat beinah 1,5 Stunden gescannt... ich sitze hier schon den ganzen Tag und krieg bald die Krise.....

hier mein hijack logfile
Logfile of HijackThis v1.99.1
Scan saved at 20:31:11, on 17.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\SlySoft\CloneCD\CloneCDTray.exe
C:\Programme\T-DSL SpeedManager\SpeedMgr.exe
C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\Dell Photo AIO Printer 922\dlbtbmgr.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\phonostar\ps_agent.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\STK013\STK013M.exe
C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe
C:\Programme\Dell Photo AIO Printer 922\dlbtbmon.exe
C:\PROGRA~1\ICQ\ICQ.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-DSL SpeedManager\tsmsvc.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\DOKUME~1\Julia\LOKALE~1\Temp\mwavscan.com
C:\DOKUME~1\Julia\LOKALE~1\Temp\kavss.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\WINDOWS\system32\notepad.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Julia\LOKALE~1\Temp\Rar$EX00.465\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.de/0SEDEDE/SAOS01
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll
O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\Programme\T-DSL SpeedManager\SpeedMgr.exe"
O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [msnappau] "C:\Programme\MSN Apps\Updater\01.02.3000.1001\de\msnappau.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Programme\Dell Photo AIO Printer 922\dlbtbmgr.exe"
O4 - HKLM\..\Run: [DLBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBTtime.dll,_RunDLLEntry@16
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Babylon Translator] C:\Programme\Babylon\Babylon.exe
O4 - HKCU\..\Run: [PhonostarAgent] C:\Programme\phonostar\ps_agent.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Startup: BridgeMon.lnk = C:\Programme\SAGEM\SAGEM F@st 900-940\BridgeMon.exe
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: STK013 PNP Monitor.lnk = ?
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{BD66B444-2947-4FE8-A8BF-6ACC4CFD388B}: NameServer = 62.27.27.62 195.247.247.195
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe
O23 - Service: Sygate Personal Firewall (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TSMService - T-Systems Nova, Berkom - C:\Programme\T-DSL SpeedManager\tsmsvc.exe

e-scan hat den Trojaner JS FlingStone ausfindig gemacht und noch einenVirus namens Exploit VBS..

Ich dreh bald durch...

Vielen vielen Dank, dass ihr euch meines Problems annehmt... *heul bald*

Dank euch,
Jules

#5 Könntest du die Datein nennen, in denen eScan die Malware findet. Suche in der Logfile alle Einträge, die infected enthalten und poste sie hier im Forum.

#6 also er findet:
infected by: "Exploit.VBS.Phel.i" Virus
infected by Trojan-Downloader JS Flingstone
infected by "not a virus:AdWare.Cres" Virus (wenn das ein Witz sein soll... ich lach später...)

ansonsten hat er nix geschrieben in der log info - jedenfalls nichts mit infected... es gab noch "tagged as not a virus... blabla" --> was bedeutet das??

Vielen Dank schonmal!!
Ich harre aus und rechne mit einer Nachtschicht....

Ich muss Bewerbungen losschicken und habe ein wenig Schiss, dass sich irgendwas weiter ausbreitet und meine mühevoll zusammengestellten Unterlagen infiziert....

kann das passieren?

wenn ja, *lauf ich mit dem Kopf voran wogegen...* das alles hat mich soviel Zeit gekostet....

naja, ich hoffe auf ein Wunder - vielleicht bekomm ich den ollen Trojaner oder was immer sich da breit gemacht hat, ja heute noch weg....

danke erstmal!!!
und Grüße aus München,
Jules

#7 Bitte auch die Dateinamen dazu schreiben. Die mit "tagged as not a virus" Bitte auch mitnehmen.

Zitat

infected by "not a virus:AdWare.Cres" Virus (wenn das ein Witz sein soll... ich lach später...)

Ist kein Witz.Es handelt sich dabei um Adware, dass heißt "Software", die Werbung einblendet usw.

#8 Nudenn, Jules:
Kannst Du bitte mal ausführen, was Dich zu der Annahme veranlasst, dass Du einen Trojaner auf dem PC hast ? Sonst wird das ein Rumgestochere in Logfiles.
__________
Durchsuchen --> Aussuchen --> Untersuchen

#9 hallo Joschi!
Also, e-scan hat den Trojaner JS Flingstone gefunden... dies veranlasst mich zur Annahme, dass ich ebenjenen ungebetenen Gast auf meinem PC habe.

Angefangen hat es mit einer Meldung von Antivir - nachdem ich e-scan dann durchlaufen ließ, kam ebenjene Meldung....

ist das etwa keiner??? wär ja super .... aber warum dann immer die Meldungen von Antivir? Und von e-scan und Ad-aware se - das ich mir auch noch durchlaufen ließ...

aaarrrrgghhhh - ich sitze einfach schon zu lange vor diesem Problem. Bin Anfängerin und sitze schon seit heute Morgen dran.

Shit..

Und nichts liegt mir ferner, als euch hier aufzuhalten.
Ich bin sehr dankbar dass ihr mir helft!!
Jules

#10 Eigentlich nicht, aber lädt (oder möchte zumindest) andere Malware nachladen. Könnten übrigends mehr sagen, wenn du uns verraten würdest, welche Datein infiziert sind. Bitte auch die,die als "tagged as not a virus" eingetragen sind.

Grüße aus dem Münchner Umland
Markus

#11 gerne!!
nur doof, dass ich das aus der log info nicht kopieren kann... so muss ich es abschreiben.

also: C \Programme\ICQ\unwise 32 EXE.\tool Win.32.Reboot. No action taken
C\Programme\Lavasoft\Ad-aware se personal\UNWISE.exe\tagged as not a virus:Tool.Win32 Reboot\no action taken

dann: Client-Irc Win32 mIRC.12 (den hatte ich eigentlich schon eliminiert....)

und Tool.Win32.Reboot

reicht das an Angaben? mehr war neben den Trojaner-Meldungen nicht zu finden...
und eben noch das:
Eistellungen\Temp.\IE5HH4LHAAQ\wbk407tmp.infected by "Exploit.VBS.Phel.i"Virus. Action\no Action taken

FileCokumente und Einstellungen\Network Service\Lokale Einstellungen\content ...blabla ....JS Flingstone Trojaner

ich verliere noch meinen Kopf heute Nacht...
Dank euch!!!
Grüße aus MUC
Jules

#12

Zitat

C \Programme\ICQ\unwise 32 EXE.\tool Win.32.Reboot. No action taken
C\Programme\Lavasoft\Ad-aware se personal\UNWISE.exe\tagged as not a virus:Tool.Win32 Reboot\no action taken

Die sind harmlos.

Die hier sind bei weitem "interessanter":
infected by: "Exploit.VBS.Phel.i" Virus
C:\Dokumente und Einstellungen\Temp.\IE5HH4LHAAQ\wbk407tmp
infected by Trojan-Downloader JS Flingstone
C:\Dokumente und Einstellungen\Network Service\Lokale Einstellungen\Temporary Internet Files\Content.IE5\
infected by "not a virus:AdWare.Cres"

Stimmen die Dateipfade soweit? Bei dem rot makierten kann ich mir das eher weniger vorstellen.

#13 Hi Jules,

Sorry, aber wir brauchen schon genaue Angaben! Blablabla... genügt nicht.
Das mit den "Tool.Win32 Reboot" Dateien ist kein Problem, sind keine Bedrohungen.

Also nochmal: öffne das eScan-Log und suche (Bearbeiten => Suchen) alle Zeilen zuerst mit "infected" und dann mit "tagged" und kopiere jede einzelne Zeile (vollständig!) hierher. Dann können wir weitersehen.

Gruß
Heron
__________
"Die Welt ist groß, weil der Kopf so klein"
Wilhelm Busch

#14 tut mir leid....

also ich hab versucht, die log datei hier reinzukopieren....dabei wurde ich 2x rausgeschmissen. Dann habe ich versucht: bearbeiten - suche - infected, aber da findet er nichts.
Gefunden oder gesehen habe ich es ja auch nur in der log information, aber die kann ich nicht rauskopieren bei e-scan...

bitte denkt nicht, dass ich mir keine Mühe geben möchte.

Also: ich kann jetzt nochmal ein e-scan logfile machen, das dauert aber wieder eine halbe Stunde.... oder wie kann ich es noch herausfinden, was infiziert ist??

sorry für meine Ausrutscher...
Jules

#15 CCleaner--> loesche alle *temp-Datein
http://virus-protect.org/temp.html