Computerhilfen.de Logo
Forum
Tipps
News

Windows XP: probiere seit ein paar Tagen einen Trojaner zu löschen

Hallo
ich probiere seit ein paar Tagen einen Trojaner zu löschen mit dem Namen TRAgent. Für mich als Laie offensichtlich ein nicht zu lösendes Problem. Ich habe mit dem hijackthis ein File erstellt. Im Voraus ganz herzlichen Dank für eine Antwort. Hier noch das Logfile vom hijachthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:16:04, on 01.04.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Windows\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\cisvc.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\tcpsvcs.exe
C:\Programme\Spyware Doctor\pctsTray.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Virtual CD v4\System\vcdsecs.exe
C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\Programme\ricardo.ch\ricardoToolbar\QXLDeamon.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\X-Lite\X-Lite\X-Lite.exe
C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\system32\cidaemon.exe
C:\DOKUME~1\RT\LOKALE~1\Temp\Temporäres Verzeichnis 1 für HiJackThis.zip\HijackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Programme\Outlook Express\msimn.exe"
O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Anmelde-Hilfsprogramm - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Programme\Google\GoogleToolbarNotifier\2.1.1119.1736\swg.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programme\Norton AntiVirus\NavShExt.dll (file missing)
O3 - Toolbar: ricardoToolbar - {DAA9F4A6-996D-44d7-AE05-E5449D517DF6} - C:\PROGRA~1\ricardo.ch\RICARD~1\QXLTOO~1.DLL
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\Windows Live Toolbar\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe
O4 - HKLM\..\Run: [VCDPlayer] C:\PROGRA~1\VIRTUA~1\System\VCDPlay.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [QXLDeamon] C:\Programme\ricardo.ch\ricardoToolbar\QXLDeamon.exe
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Salestart(1)] "C:\Programme\Gemeinsame Dateien\SysKontroller\strpmon.exe" dm=http://syskontroller.com ad=http://syskontroller.com sd=http://painst.syskontroller.com
O4 - HKLM\..\Run: [NI.UGA6PU_0001_N120M2910] "c:\dokumente und einstellungen\rt\anwendungsdaten\install_de[1].exe"
O4 - HKLM\..\Run: [VirenLoescher] C:\Programme\VirenLoescher\pgs.exe
O4 - HKLM\..\Run: [degbvrsoozmk] C:\WINDOWS\system32\degbvrsoozmk.exe
O4 - HKLM\..\Run: [hopyqzho] C:\WINDOWS\system32\hopyqzho.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programme\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [NI.UGA6PU_0001_N120M1202] "C:\Dokumente und Einstellungen\RT\Eigene Dateien\Treiber\install_de.exe"
O4 - HKLM\..\Run: [ISTray] "C:\Programme\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [XSC SIP Client] "C:\Programme\X-Lite\X-Lite\X-Lite.exe"
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Nero6\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\Programme\Microsoft ActiveSync\WCESCOMM.EXE"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Programme\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx
O8 - Extra context menu item: In neuer Registerkarte im Hintergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/229?564546c48bf04ec395b19dcbe0e7f8db
O8 - Extra context menu item: In neuer Registerkarte im Vordergrund öffnen - res://C:\Programme\Windows Live Toolbar\Components\de-ch\msntabres.dll.mui/230?564546c48bf04ec395b19dcbe0e7f8db
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: In Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: In Windows Live Writer in &Blog veröffentlichen - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Programme\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: Mobilen Favoriten erstellen - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Programme\Microsoft ActiveSync\inetrepl.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9122D757-5A4F-4768-82C5-B4171D8556A7} (PhotoPickConvert Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/PhotoSwap/PhtPkMSN.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab
O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Programme\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: Print Spooler Service (rajauaio) - Unknown owner - C:\WINDOWS\system32\hopyqzho.exe (file missing)
O23 - Service: SAVScan - Symantec Corporation - C:\Programme\Norton AntiVirus\SAVScan.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programme\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programme\Spyware Doctor\pctsSvc.exe
O23 - Service: SmartLinkService (SLService) -   - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: Virtual CD v4 Security service (VCDSecS) - H+H Software GmbH - C:\Programme\Virtual CD v4\System\vcdsecs.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\Windows\system32\ZoneLabs\vsmon.exe

--
End of file - 10531 bytes



Mein Computer-System:
   
Installiertes Betriebssystem: Windows XP   

« Letzte Änderung: 02.04.08, 17:23:03 von Dr.Nope »


Antworten zu Windows XP: probiere seit ein paar Tagen einen Trojaner zu löschen:

poste mal einen HijackThis log
http://sicher-ins-netz.info/analyse/ 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Formatier schleunigst deinen PC!!!!

Neben der hier im Forum üblichen Stándardlösung FORMATIEREN betreibe mal ein wenig Analyse

C:\WINDOWS\system32\degbvrsoozmk.exe
C:\WINDOWS\system32\hopyqzho.exe

Diese Datei/Dateien hier scannen lassen:
[size=18]VIRUSTOTAL[/size][/url]
Auf Durchsuchen klicken --> Datei aussuchen (oder gleich die Datei mit korrektem Pfad einkopieren mit Strg V) --> Klick auf die zu prüfende Datei und öffnen--> klick auf "Senden der Datei"... jetzt abwarten - dann mit der rechten Maustaste den Text markieren -> kopieren - und hier[size=18] vollständig posten[/size]

[size=18]WindowsScan[/size][/url] laden,
ausführen, Report posten

 

 Wozu der Zirkus ?
um anschließend zu wissen ,wie der Hund geheisen hat, in dessen Hinterlassenschaft der TO reingelatscht ist...?

Exen die mit Google keine Treffer ergeben haben eine Halbwertszeit bis zur Beantwortung der Frage an den TO ,ob er die Datei denn kenne...
Sir Reklov
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Wozu diese Antwort .. ?

Ist ( wie immer ) eine große Hilfe FÜR NIX !!
 

« Letzte Änderung: 04.04.08, 17:08:54 von HCK »

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Wozu der Zirkus ?
um anschließend zu wissen ,wie der Hund geheisen hat, in dessen Hinterlassenschaft der TO reingelatscht ist...?

Exen die mit Google keine Treffer ergeben haben eine Halbwertszeit bis zur Beantwortung der Frage an den TO ,ob er die Datei denn kenne...
Sir Reklov
 

Muss ihm aber voll recht geben!!

 

Zitat
Wozu diese Antwort .. ?
Die noch weniger Sinn macht als alles 

Genau, wozu diese Antwort?

Um Punkte zusammeln?

 
Zitat
Muss ihm aber voll recht geben!! 
Naja, nicht unbedingt manchmal ist es schon nicht schlecht zu wissen, wer, was zugeschlagen hat!
 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Zitat
Naja, nicht unbedingt manchmal ist es schon nicht schlecht zu wissen, wer, was zugeschlagen hat!

Kla, aber wozu soll man hier noch die Dateien hochladen ??

Ist kla wie Klosbrühe dass sich dahinter ein Trojaner bzw. backdoor Trojaner verbirgt!! Ansonsten geb ich dir recht.

Wozu soll er sammeln ?? Er ist gast  :P

Ich meinte ja auch nicht den Gast!

 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

Ah stimmt sry, nicht nachgedacht  ;D

Was eine unnötige Aufregung hier? Nur weil geraten wird mal ein wenig zu analysieren.

Eine Analyse kann sowohl dem Betroffenen helfen zu erfahren wo er sich das vielleicht eingefangen hat und evtl. auch wie er es zukünftig vermeiden kann. Auch kann es sich bis dato nicht bekannte Malware handeln. Durch den Scan auf Virustotal werden die Dateien gleichzeitig vielen Antivirenherstellern verfügbar gemacht, Um dann diese zu erkennen und gemeinsam zukünftig weltweit Millionen Anwender davor zu schützen (Verhinderung durch den Virenwächter vor dem Erstzugriff solcher Malware).

Da neue Malware immer besser geblockt wird und sich häufig nicht mehr durch Antivirenprogramme entfernen lässt, ist auch sinnvoll sich weitere Dateien und die Registery auf dem befallenen System anzuschauen, damit erkannt wird was durch diese Malware wo und wie angerichtet wurde. Für eine Erstdiagnose ist daher das betroffene System wichtig, um  es später in einem Virenlabor nachzustellen und entsprechende erweiterte Gegenmaßnahmen aufstellen zu können.

Wenn man also die Malware und dessen Auswirkungen erkannt hat, kann man erst darüber entscheiden ob man unbedingt formatieren muss, oder auch anderweitig helfen kann. 

Leider arbeiten nur die wenigsten Foren nach diesem Prinzip.    :(

 

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button
Was eine unnötige Aufregung hier? Nur weil geraten wird mal ein wenig zu analysieren.

Eine Analyse kann sowohl dem Betroffenen helfen zu erfahren wo er sich das vielleicht eingefangen hat und evtl. auch wie er es zukünftig vermeiden kann. Auch kann es sich bis dato nicht bekannte Malware handeln. Durch den Scan auf Virustotal werden die Dateien gleichzeitig vielen Antivirenherstellern verfügbar gemacht, Um dann diese zu erkennen und gemeinsam zukünftig weltweit Millionen Anwender davor zu schützen (Verhinderung durch den Virenwächter vor dem Erstzugriff solcher Malware).

Da neue Malware immer besser geblockt wird und sich häufig nicht mehr durch Antivirenprogramme entfernen lässt, ist auch sinnvoll sich weitere Dateien und die Registery auf dem befallenen System anzuschauen, damit erkannt wird was durch diese Malware wo und wie angerichtet wurde. Für eine Erstdiagnose ist daher das betroffene System wichtig, um  es später in einem Virenlabor nachzustellen und entsprechende erweiterte Gegenmaßnahmen aufstellen zu können.

Wenn man also die Malware und dessen Auswirkungen erkannt hat, kann man erst darüber entscheiden ob man unbedingt formatieren muss, oder auch anderweitig helfen kann. 

Leider arbeiten nur die wenigsten Foren nach diesem Prinzip.    :(

 

Dann soll er doch die Datei hochladen zu 90% Trojaner!

Hat dir diese Antwort geholfen?

Danke ButtonHilfreiche Antwort Button

ICH brauch keine Punkte ....
Und Knut aus Berlin ist ein m.E. "würdiger" Vertreter des SIR .
Gleicher penetranter Stil  ::)8)
 


« Internet Seiten, die sich automatisch einschalten.Windows Vista: nervige popups »
 

Schnelle Hilfe: Hier nach ähnlichen Fragen und passenden Tipps suchen!