Home » Spyware & Browser Hijacker Support Forum » Trojaner im Laptop :-) » Themenansicht

Firefox Tipp: Instantfox - Quick Search Add-On!

Seite(n): 1

Antworten

Trojaner im Laptop :-)

29.03.2006, 18:08

Scholle21

Member

Beiträge: 29

#1 Hallo.
Habe ein Acer Laptop und als Virenscanner benutze ich Antivir. Seit gestern zeigt er mit jedesmal beim hochfahren an, das ich einen Trojaner auf dem Laptop habe. Ich sage ihm löschen und beim nächsten Neustart ist es wieder eine andere Datei die er mir anzeigt. TR/Zlob.IT.3
Im Verzeihnis Windows\System32\.
Kann mir da jemand weiterhelfen?
Hier mein Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 17:58:33, on 29.03.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Intel\Wireless\Bin\EvtEng.exe
C:\Programme\Sygate\SPF\smc.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Acer\eManager\anbmServ.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
C:\WINDOWS\system32\nvctrl.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\acer\epm\epm-dm.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\acer\eRecovery\Monitor.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\HijackThis.exe

O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpB2E4.tmp (file missing)
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - (no file)
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe
O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot
O4 - HKLM\..\Run: [eRecoveryService] C:\Windows\System32\Check.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_10\bin\npjpi142_10.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} (YazzleActiveX Control) - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O17 - HKLM\System\CCS\Services\Tcpip\..\{09ED8080-5F9A-4137-96FE-7716551EF8A1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{09ED8080-5F9A-4137-96FE-7716551EF8A1}: NameServer = 192.168.0.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{09ED8080-5F9A-4137-96FE-7716551EF8A1}: NameServer = 192.168.0.1
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: windav32 - windav32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: EvtEng - Intel Corporation - C:\Programme\Intel\Wireless\Bin\EvtEng.exe
O23 - Service: RegSrvc - Intel Corporation - C:\Programme\Intel\Wireless\Bin\RegSrvc.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Programme\Intel\Wireless\Bin\S24EvMon.exe
O23 - Service: Sygate Personal Firewall Platinum (SmcService) - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

29.03.2006, 20:18

Sabina

Ehrenmitglied

Beiträge: 29434

#2 Scholle21

Kopiere diese 4 Textdateien. Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

Download f-secure-Beta Trial
http://www.f-secure.com/blacklight/
doppelklick: blbeta.exe
nach dem Check klicke -- next
nun findet man eine Log-Datei (txt) auf dem Desktop --> hier kopieren
__________
MfG Sabina

rund um die PC-Sicherheit

29.03.2006, 22:12

Scholle21

Member

Themenstarter

Beiträge: 29

#3 Hallo!
Bedanke mich schon mal für dein bemühen.

Log1.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS\system32

29.03.2006 22:05 6.656 interf.tlb
29.03.2006 22:05 692 eRLog.ini
29.03.2006 22:05 33.805 ld8992.tmp
28.03.2006 21:36 4.984 ncompat.tlb
28.03.2006 21:21 4.286 ot.ico
28.03.2006 21:21 4.286 ts.ico
28.03.2006 21:21 17.436 nvctrl.exe
28.03.2006 21:19 16.077 dfrgsrv.exe
28.03.2006 21:19 49.152 AdService.dll
28.03.2006 17:37 1.180 wpa.dbl
28.03.2006 17:37 197.752 FNTCACHE.DAT
09.03.2006 16:21 4.799.320 MRT.exe
18.01.2006 13:05 57.344 avsda.dll
12.01.2006 17:30 4.188 jupdate-1.4.2_10-b03.log
30.11.2005 17:18 49.424 perfc007.dat
30.11.2005 17:18 318.680 perfh007.dat
30.11.2005 17:18 313.280 perfh009.dat
30.11.2005 17:18 40.998 perfc009.dat
30.11.2005 17:18 727.630 PerfStringBackup.INI
22.11.2005 22:22 23.376 emptyregdb.dat
22.11.2005 22:07 20.020 $winnt$.inf
22.11.2005 22:04 23.392 nscompat.tlb
22.11.2005 22:04 16.832 amcompat.tlb
22.11.2005 22:03 488 logonui.exe.manifest
22.11.2005 22:03 488 WindowsLogon.manifest
22.11.2005 22:02 749 sapi.cpl.manifest
22.11.2005 22:02 749 wuaucpl.cpl.manifest
22.11.2005 22:02 749 ncpa.cpl.manifest
22.11.2005 22:02 749 cdplayer.exe.manifest
22.11.2005 22:02 749 nwc.cpl.manifest
22.11.2005 21:52 36.034 oeminfo.ini
21.11.2005 20:49 806 Autorun.ini
21.11.2005 15:24 308 results.txt

Log2.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\DOKUME~1\Dennis\LOKALE~1\Temp

28.03.2006 21:54 13.830 jusched.log
28.03.2006 21:49 2.983.247 sa4.exe
28.03.2006 21:36 2.983.247 sa1.exe
28.03.2006 21:22 498 MSI595ee.LOG
28.03.2006 17:53 12.828 win3.tmp.exe
28.03.2006 17:53 0 win4.tmp
22.03.2006 07:14 118 0CF6E057.TMP
12.10.2004 11:14 57.344 InstHelp.dll
8 Datei(en) 6.051.112 Bytes
0 Verzeichnis(se), 20.741.324.800 Bytes frei

Log3.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\WINDOWS

29.03.2006 22:10 387.993 WindowsUpdate.log
29.03.2006 22:05 3.744 ModemLog_SoftV92 Data Fax Modem with SmartCP.txt
29.03.2006 22:05 0 0.log
29.03.2006 22:04 2.048 bootstat.dat
29.03.2006 18:44 32.622 SchedLgU.Txt
29.03.2006 18:43 259 PSOLAW1.INI
29.03.2006 18:43 429 WPSOLA.INI
29.03.2006 16:33 1.020.358 setupapi.log
28.03.2006 17:55 39.424 YAXUninst.exe
16.03.2006 17:31 3.038 tm.ini
16.03.2006 17:31 124 tdf.dii
14.02.2006 22:39 69 NeroDigital.ini
14.02.2006 22:07 216 wiadebug.log
14.02.2006 22:07 50 wiaservc.log
14.02.2006 20:30 390 nsw.log
12.02.2006 20:15 33.902 MedCtrOC.log
12.02.2006 20:15 240.999 tsoc.log
12.02.2006 20:15 21.405 tabletoc.log
12.02.2006 20:15 25.751 msgsocm.log
12.02.2006 20:15 26.018 ocmsn.log
12.02.2006 20:15 322.903 ocgen.log
12.02.2006 20:15 503.029 FaxSetup.log
12.02.2006 20:15 705.472 iis6.log
12.02.2006 20:15 188.794 comsetup.log
12.02.2006 20:15 125.008 ntdtcsetup.log
12.02.2006 20:15 3.739 imsins.log
12.02.2006 20:11 193.192 msmqinst.log
12.02.2006 20:11 76.788 netfxocm.log
14.12.2005 15:32 119.795 setupact.log
30.11.2005 17:18 4.625 imsins.BAK
23.11.2005 20:01 400 ODBC.INI
23.11.2005 20:01 832 win.ini

Log4.
Datentr„ger in Laufwerk C: ist ACER
Volumeseriennummer: 320D-180E

Verzeichnis von C:\

29.03.2006 22:14 0 sys.txt
29.03.2006 22:13 8.918 system.txt
29.03.2006 22:12 620 systemtemp.txt
29.03.2006 22:10 107.446 system32.txt
29.03.2006 22:04 1.071.763.456 hiberfil.sys
29.03.2006 22:04 1.610.612.736 PAGEFILE.SYS
22.11.2005 21:57 211 boot.ini
31.03.2005 17:23 75 PRELOAD.AAA
31.03.2005 17:11 774 IPH.PH
31.03.2005 02:18 50 AUTOEXEC.BAT
31.03.2005 01:49 0 MSDOS.SYS
31.03.2005 01:49 0 IO.SYS
31.03.2005 01:49 0 CONFIG.SYS
31.12.2002 12:00 47.564 NTDETECT.COM
31.12.2002 12:00 4.952 bootfont.bin
31.12.2002 12:00 251.184 ntldr
16 Datei(en) 2.682.797.986 Bytes
0 Verzeichnis(se), 20.741.160.960 Bytes frei

Letzte Log.
03/29/06 22:18:56 [Info]: BlackLight Engine 1.0.33 initialized
03/29/06 22:18:56 [Info]: OS: 5.1 build 2600 (Service Pack 2)
03/29/06 22:18:56 [Note]: 7019 4
03/29/06 22:18:56 [Note]: 7005 0

Dieser Beitrag wurde am 29.03.2006 um 22:19 Uhr von Scholle21 editiert.

29.03.2006, 23:29

Sabina

Ehrenmitglied

Beiträge: 29434

#4 Scholle21

KILLBOX - Pocket KillBox
http://virus-protect.org/killbox.html

Options: Delete on Reboot --> anhaken
und klicke auf das rote Kreuz, wenn gefragt wird, ob "Do you want to reboot? "---- klicke auf "no",und kopiere das nächste rein, erst beim letzten auf "yes"
reinkopieren: ......

C:\DOKUME~1\Dennis\LOKALE~1\Temp\sa4.exe
C:\DOKUME~1\Dennis\LOKALE~1\Temp\sa1.exe
C:\DOKUME~1\Dennis\LOKALE~1\Temp\MSI595ee.LOG
C:\DOKUME~1\Dennis\LOKALE~1\Temp\win3.tmp.exe
C:\DOKUME~1\Dennis\LOKALE~1\Temp\win4.tmp
C:\WINDOWS\Downloaded Program Files\YazzleActiveX.ocx
C:\WINDOWS\system32\interf.tlb
C:\WINDOWS\system32\eRLog.ini
C:\WINDOWS\system32\ld8992.tmp
C:\WINDOWS\system32\ncompat.tlb
C:\WINDOWS\system32\ot.ico
C:\WINDOWS\system32\ts.ico
C:\WINDOWS\system32\nvctrl.exe
C:\WINDOWS\system32\dfrgsrv.exe
C:\WINDOWS\system32\AdService.dll
C:\WINDOWS\system32\AdService.bat
C:\WINDOWS\YAXUninst.exe

pc neustarten

öffne das HijackThis -- Button "scan" -- vor die Malware-Einträge Häkchen setzen -- Button "Fix checked" -- PC neustarten

O2 - BHO: (no name) - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hpB2E4.tmp (file missing)
O20 - Winlogon Notify: windav32 - windav32.dll (file missing

PC neustarten

nach dem Neustart suche: C:\!KillBox
und loesche alle dort befindlichen Dateien manuell

arbeite das ganz genau ab (nur die Killbox nicht...die ist ja schon erledigt)
http://virus-protect.org/artikel/spyware/spywarequake.html
dann beichte vom scan mit Kaspersky
__________
MfG Sabina

rund um die PC-Sicherheit

30.03.2006, 21:39

Scholle21

Member

Themenstarter

Beiträge: 29

#5 Hallo!
Also bis dahin habe ich alles abgearbeitet. Und was soll ich jetzt machen?

Zitat

arbeite das ganz genau ab (nur die Killbox nicht...die ist ja schon erledigt)
http://virus-protect.org/artikel/spyware/spywarequake.html
dann berichte vom scan mit Kaspersky

Alles auf der Seite nochmal machen, oder wie meinst du das?

Danke
Gruß

30.03.2006, 23:58

Sabina

Ehrenmitglied

Beiträge: 29434

#6 ja, du musst alles vom ersten bis zum letzten Punkt abarbeiten, Punkt 4-die KILLBOX , habe ich dir die zu loeschenden Daten gegeben
__________
MfG Sabina

rund um die PC-Sicherheit

01.04.2006, 17:48

Scholle21

Member

Themenstarter

Beiträge: 29

#7 Hallo!
Sorry das es so lange gedauert hat. Habe Punkt für Punkt abgearbeitet.
Meldung von Kaspersky lautet:
The scan is complete.
No malware has been detected. The sections that have been scanned are CLEAN

Habe ich jetzt den Trojaner erfolgreich gelöscht?
Ist mein Laptop wieder Clean?
Schönen Abend.
Gruß, Scholle21

01.04.2006, 18:39

Sabina

Ehrenmitglied

Beiträge: 29434

#8 Scholle21

ich moechte gern noch was ueberpruefen

RootkitRevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html
poste den scanreport
__________
MfG Sabina

rund um die PC-Sicherheit

01.04.2006, 20:22

Scholle21

Member

Themenstarter

Beiträge: 29

#9 Eine Datei gefunden:
Path: HKLM\Software\Classes\webcal\URL Protocol
Timetamp: 31.03.2005 17:11
Size: 13 bytes
Description: Data mismatch between Windows API and raw hive data

02.04.2006, 12:44

Meister Tom

...neu hier

Beiträge: 1

#10 Hallo, genau am gleichen Tag habe ich mir auch das Ding auf einem ACER eingefangen, woher? vermute Musicload, war die einzige Seite die ich geladen habe und die ein update gefahren haben.
Habe zig angebliche Freeware etc probiert, meistens bis zum Punkt des kostenpflichtigen Registrieren bevor das Teil gekillt wird.
NAch langem Suchen habe ich sehr gute erfahrung mit http://www.emsisoft.de/de/ gemacht, hat gescant, gefunden und bis jetzt keine neuen Fehler/Störungen/Viren,Trojis entdeckt.
Versuchs mal.
Gruss
Tom

02.04.2006, 14:38

Sabina

Ehrenmitglied

Beiträge: 29434

#11 Scholle21

es sollte wieder alles in Ordnung sein

wenn du das abgearbeitet hast:
http://virus-protect.org/artikel/spyware/spywarequake.html
Es gibt keine Rootkits.
__________
MfG Sabina

rund um die PC-Sicherheit

02.04.2006, 17:06

Scholle21

Member

Themenstarter

Beiträge: 29

#12 Das habe ich doch schon abgearbeitet.
Oder ist das schon wieder was anderes?

02.04.2006, 17:08