'TR/Hijack.Exp.456.1' Ist das ein Trojaner?

#1 Hallo zusammen,

mein antivir hat mir folgendes gemeldet:

In der Datei 'C:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP239\A0022572.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Hijack.Exp.456.1' [TR/Hijack.Exp.456.1] gefunden.


In der Datei 'C:\WINDOWS\jestertb.dll'
wurde ein Virus oder unerwünschtes Programm 'TR/Hijack.Exp.456.1' [TR/Hijack.Exp.456.1] gefunden.

Hab ich jetzt einen Virus oder einen Trojaner auf meinem Rechner?

Gruß lara

#2 lara20

TR/ - bedeutet trojaner, womit dein Rechner verseucht ist.
scanne mit Antivirus im abgesichertenModus und lasse alles loeschen, was noch gefunden wird

««
stelle den CleanUp genauso ein, wie hier angegeben:
http://virus-protect.org/cleanup.html

««
Kopiere diese 6 Textdateien ab . (rechtsklick mit der Maus -> den Text markieren -> kopieren -> einfügen) Sie sind nach Datum geordnet. (kopiere nur die letzten 3 Monate ab)
http://virus-protect.org/datfindbat.html

---------------------------------------------------------------------

allerdings wurde hier nichts angezeigt, ist aber schon eine Weile her...
http://board.protecus.de/t26275.htm

Zitat

C:\WINDOWS\jestertb.dll

STATUS: FINISHED
Complete scanning result of "jestertb.dll", received in VirusTotal at 10.31.2006, 11:41:21 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.34 10.31.2006 no virus found
Authentium 4.93.8 10.31.2006 no virus found
Avast 4.7.892.0 10.30.2006 no virus found
AVG 386 10.31.2006 no virus found
BitDefender 7.2 10.31.2006 no virus found
CAT-QuickHeal 8.00 10.30.2006 no virus found
ClamAV devel-20060426 10.30.2006 no virus found
DrWeb 4.33 10.31.2006 no virus found
eTrust-InoculateIT 23.73.41 10.31.2006 no virus found
eTrust-Vet 30.3.3170 10.31.2006 no virus found
Ewido 4.0 10.31.2006 no virus found
Fortinet 2.82.0.0 10.31.2006 no virus found
F-Prot 3.16f 10.31.2006 no virus found
F-Prot4 4.2.1.29 10.31.2006 no virus found
Ikarus 0.2.65.0 10.31.2006 no virus found
Kaspersky 4.0.2.24 10.31.2006 no virus found
McAfee 4884 10.30.2006 no virus found
Microsoft 1.1609 10.31.2006 no virus found
NOD32v2 1.1844 10.31.2006 no virus found
Norman 5.80.02 10.30.2006 no virus found
Panda 9.0.0.4 10.31.2006 no virus found
Sophos 4.10.0 10.26.2006 no virus found
TheHacker 6.0.1.109 10.30.2006 no virus found
UNA 1.83 10.30.2006 no virus found
VBA32 3.11.1 10.31.2006 no virus found
VirusBuster 4.3.15:9 10.31.2006 no virus found
Aditional Information
File size: 20992 bytes
MD5: 65dabb831da51500dfa31b40252803e2
SHA1: 82790a1b47069df4e71750ee13469b0ab13f0129
packers: embedded

__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hallo Sabina,

danke für die schnelle Antwort.
Hier die Logs, ich habe nur 4 statt 6 warum auch immer.

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\

21.02.2007 20:28 0 sys.txt
21.02.2007 20:28 1.140 wialog.txt
21.02.2007 20:28 8.270 system.txt
21.02.2007 20:28 124 systemtemp.txt
21.02.2007 20:27 104.950 system32.txt
21.02.2007 19:39 1.073.270.784 hiberfil.sys
21.02.2007 19:39 1.610.612.736 pagefile.sys
20.09.2006 18:06 225 boot.ini

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS\system32

21.02.2007 19:41 2.206 wpa.dbl
20.02.2007 20:15 375.542 perfh009.dat
20.02.2007 20:15 51.340 perfc009.dat
20.02.2007 20:15 386.058 perfh007.dat
20.02.2007 20:15 62.166 perfc007.dat
20.02.2007 20:15 884.200 PerfStringBackup.INI
16.02.2007 13:38 122.142 TZLog.log
11.02.2007 20:00 16.832 amcompat.tlb
11.02.2007 20:00 23.392 nscompat.tlb
11.02.2007 19:53 902 InstallUtil.InstallLog
07.02.2007 23:01 12.293.536 MRT.exe
29.01.2007 09:58 60.416 tzchange.exe
23.01.2007 20:30 546.304 hhctrl.ocx
12.01.2007 09:27 51.712 msfeedsbs.dll
12.01.2007 09:27 132.608 extmgr.dll
12.01.2007 09:27 27.136 jsproxy.dll
12.01.2007 09:27 458.752 msfeeds.dll
12.01.2007 09:27 232.960 webcheck.dll
12.01.2007 09:27 3.580.416 mshtml.dll
12.01.2007 09:27 822.784 wininet.dll
12.01.2007 09:27 670.720 mstime.dll
12.01.2007 09:27 1.149.952 urlmon.dll
12.01.2007 09:27 477.696 mshtmled.dll
12.01.2007 09:27 6.054.400 ieframe.dll
10.01.2007 17:42 1.040.384 ieframe.dll.mui
08.01.2007 19:04 105.984 url.dll
08.01.2007 19:04 102.400 occache.dll
08.01.2007 19:03 193.024 msrating.dll
08.01.2007 19:02 1.823.744 inetcpl.cpl
08.01.2007 19:02 44.544 iernonce.dll
08.01.2007 19:02 266.752 iertutil.dll
08.01.2007 19:02 161.792 ieakui.dll
08.01.2007 19:02 230.400 ieaksie.dll
08.01.2007 19:02 153.088 ieakeng.dll
08.01.2007 19:02 384.000 iedkcs32.dll
08.01.2007 19:02 383.488 ieapfltr.dll
08.01.2007 19:01 17.408 corpol.dll
08.01.2007 19:00 124.928 advpack.dll
08.01.2007 18:08 56.832 ie4uinit.exe
08.01.2007 18:08 13.824 ieudinit.exe
25.12.2006 17:12 37.888 setupnt.dll
19.12.2006 22:49 135.168 shsvcs.dll
19.12.2006 22:49 8.494.592 shell32.dll
19.12.2006 19:17 334.336 wiaservc.dll
13.12.2006 21:24 89.296 ElbyCDIO.dll
27.11.2006 15:54 539.136 msftedit.dll
27.11.2006 15:54 433.152 riched20.dll

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\WINDOWS

21.02.2007 20:25 1.340.997 WindowsUpdate.log
21.02.2007 19:40 6.104 ModemLog_Bluetooth DUN Modem.txt
21.02.2007 19:40 0 0.log
21.02.2007 19:40 3.846 ModemLog_Creatix V.92 Data Fax Modem.txt
21.02.2007 19:40 2.020 ModemLog_Bluetooth Fax Modem.txt
21.02.2007 19:40 159 wiadebug.log
21.02.2007 19:40 50 wiaservc.log
21.02.2007 19:39 2.048 bootstat.dat
21.02.2007 19:38 32.542 SchedLgU.Txt
21.02.2007 14:42 247.170 ntbtlog.txt
16.02.2007 13:39 39.309 tsoc.log
16.02.2007 13:39 20.263 ntdtcsetup.log
16.02.2007 13:39 5.599 ocmsn.log
16.02.2007 13:39 33.105 comsetup.log
16.02.2007 13:39 1.374 imsins.log
16.02.2007 13:39 15.929 iis6.log
16.02.2007 13:39 19.394 KB927779.log
16.02.2007 13:39 49.337 ocgen.log
16.02.2007 13:39 4.969 msgsocm.log
16.02.2007 13:39 100.091 FaxSetup.log
16.02.2007 13:39 125.219 setupapi.log
16.02.2007 13:39 7.408 updspapi.log
16.02.2007 13:38 1.374 imsins.BAK
16.02.2007 13:38 16.401 KB927802.log
16.02.2007 13:38 16.076 KB928255.log
16.02.2007 13:38 8.119 KB923723.log
16.02.2007 13:38 12.596 KB924667.log
16.02.2007 13:38 25.038 KB931836.log
16.02.2007 13:38 14.540 KB926436.log
16.02.2007 13:38 10.432 KB928090-IE7.log
16.02.2007 13:38 11.773 KB918118.log
16.02.2007 13:38 13.130 KB928843.log
12.02.2007 18:58 10 popcinfo.dat
11.02.2007 20:01 6.359 wmsetup.log
11.02.2007 20:01 47.748 spupdsvc.log
11.02.2007 20:01 4.221 wmsetup10.log
11.02.2007 19:56 11.810 KB926239.log
11.02.2007 19:55 8.251 MSCompPackV1.log
11.02.2007 19:55 21.989 wmp11.log
11.02.2007 19:55 900 win.ini
11.02.2007 19:54 29.727 WMFDist11.log
11.02.2007 19:54 316.640 WMSysPr9.prx
11.02.2007 19:54 13.440 Wudf01000Inst.log
11.02.2007 19:50 116 NeroDigital.ini
11.02.2007 18:38 321 wininit.ini
11.02.2007 16:37 300 setupact.log
14.01.2007 16:45 253 tm.ini
10.01.2007 19:16 10.643 mozver.dat
26.12.2006 18:44 92.672 Ostern 3D Uninstall.exe
26.12.2006 18:44 4.898.816 Ostern 3D.scr
26.12.2006 18:36 606.848 flashax.exe
26.12.2006 18:36 12.288 impborl.dll
25.12.2006 16:28 0 PROTOCOL.INI
24.12.2006 22:28 356.352 Weihnachtszauber3DUninstaller.exe
24.12.2006 22:28 10.330.112 Weihnachtszauber3D.scr
23.12.2006 10:26 2.490 ModemLog_Bluetooth LAP Modem #2.txt
23.12.2006 10:26 2.490 ModemLog_Bluetooth LAP Modem.txt
07.12.2006 17:19 302 datarecs.Ini

Datentr„ger in Laufwerk C: ist BOOT
Volumeseriennummer: F0ED-29D3

Verzeichnis von C:\DOKUME~1\Biggi\LOKALE~1\Temp



Gruß lara

#4 im Normalmodus
http://virus-protect.org/artikel/tools/sdfix.html
RunThis.bat doppelt klicken
reinschreiben: 3
3 : wird Sophos geladen - waehle 6 - scanne und poste den report
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Hier der Report:

Sophos Anti-Virus
Version 4.14.0 [Win32/Intel]
Virus data version 4.14, February 2007
Includes detection for 216984 viruses, trojans and worms
Copyright (c) 1989-2007 Sophos Plc, www.sophos.com

System time 22:22:09, System date 21 February 2007
Command line qualifiers are: -f -remove -nc -nb --stop-scan

IDE directory is: C:\SDFix\IDE


Password protected file C:\Dokumente und Einstellungen\Biggi\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\DEU\read0600win_DEUyhoo0010.pdf
Password protected file C:\Dokumente und Einstellungen\Biggi\Anwendungsdaten\Adobe\Acrobat\7.0\Messages\DEU\read0700win_DEUadbe0700.pdf
Could not open C:\hiberfil.sys
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\DEU\RdrMsgDEU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\ENU\RdrMsgENU.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\Messages\RdrMsgSplash.pdf
Password protected file C:\Programme\Adobe\Acrobat 7.0\Reader\WebSearch\WebSearchENU.pdf
Could not open C:\WINDOWS\system32\drivers\sptd.sys
Could not open C:\WINDOWS\system32\drivers\sptd5421.sys
Could not open C:\WINDOWS\system32\drivers\vaxscsi.sys
>>> Virus 'Troj/Keygen-Q' found in file F:\Download\jv16\patch.exe
Removal successful
Aborted checking F:\Spiele\HPudFk\Harry.Potter.und.der.Feuerkelch.DVD.GERMAN-NESSUNO\HPGOF\0compressed.zip - appears to be a 'zip bomb'
>>> Virus 'Mal/Packer' found in file F:\Spiele\HPudFk\Harry.Potter.und.der.Feuerkelch.DVD.GERMAN-NESSUNO\HPGOF\NESSUNO\keygen.exe
Removal successful
>>> Virus 'Troj/Keygen-Q' found in file F:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP242\A0022841.exe
Removal successful
>>> Virus 'Mal/Packer' found in file F:\System Volume Information\_restore{52DFAB03-4BF1-4DFE-A55B-7F2CCDD8D2DE}\RP242\A0022842.exe
Removal successful

4 boot sectors swept.
41343 files swept in 30 minutes and 15 seconds.
11 errors were encountered.
4 viruses were discovered.
4 files out of 41343 were infected.
Please send infected samples to Sophos for analysis.
For advice consult www.sophos.com, email support@sophos.com
or telephone +44 1235 559933
6 encrypted files were not checked.
Ending Sophos Anti-Virus.

Gruß lara

#6 wer sich keygens runterlaedt, muss sich auch ueber die Konsequenzen klar sein : ein verseuchter Rechner

««
Arbeitsplatz --> Rechtsklick, dann auf Eigenschaften --> Reiter Systemwiederherstellung --> Häkchen setzen bei Systemwiederherstellung auf allen Laufwerken deaktivieren.
(dann wieder aktivieren)
__________
MfG Sabina

rund um die PC-Sicherheit

#7 Hallo Sabina,

danke für die Hilfe.
Muss ich jetzt noch etwas machen oder sollte der PC sauber sein?

Gruß lara