Ich hab n trojanisches pferd auf mein netbook. was tun?
Trojanisches Pferd
-
-
I'm schlimmsten Fall neu aufsetzen die Gefahr is gross, wenn du den Virus löscht auch ein Teil DES Systems zerstört wird und du die kiste nicht mehr zum laufen bringst. Versuche die Datei zu reparieren am besten MIT avast Mfg
-
Amunt Valencia!
-
hab schon größtenteils die gefährliche dateien runter. 86 an die zahl.^^
-
Original von Pep
hab schon größtenteils die gefährliche dateien runter. 86 an die zahl.^^
Das Problem ist ja, dass die meisten Trojaner Schutzmechanismen besitzen. Ein einfaches Löschen reicht da seltenst aus.
Poste ein HJT Logfile:
sicher-ins-netz.info/analyse/hjt.html
„Erkläre mir, und ich werde vergessen.
Zeige mir, und ich werde mich erinnern.
Beteilige mich, und ich werde verstehen.“
-
Hallo Arilac,
ich habe übrings den "Antimalware Doctor" .
Dazu habe ich dieses hier gefunden: trojaner-board.de/83172-antimalware-doctor-entfernen.html
Brauchst du den Logfile immer noch? -
Ja
„Erkläre mir, und ich werde vergessen.
Zeige mir, und ich werde mich erinnern.
Beteilige mich, und ich werde verstehen.“
-
Logfile:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:27:23, on 25.04.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17023)
Boot mode: Normal
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Programme\Bonjour\mDNSResponder.exe
C:\Programme\ICQ6Toolbar\ICQ Service.exe
C:\Programme\System Control Manager\MSIService.exe
C:\WINDOWS\system32\PSIService.exe
C:\Programme\Cyberlink\Shared files\RichVideo.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Njisaa.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\HomeCinema\PowerDVD\PDVDServ.exe
C:\Programme\System Control Manager\MGSysCtrl.exe
C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\wscntfy.exe
C:\WINDOWS\system32\wbem\unsecapp.exe
C:\Programme\iPod\bin\iPodService.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = start.icq.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = aldi.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = aldi.com
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O2 - BHO: C:\WINDOWS\system32\w3zpbz3.dll - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - C:\WINDOWS\system32\w3zpbz3.dll
O3 - Toolbar: ICQToolBar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQ6Toolbar\ICQToolBar.dll
O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Programme\AskBarDis\bar\bin\askBar.dll
O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Programme\Google\Google Toolbar\GoogleToolbar_32.dll
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [QuickFinder Scheduler] "C:\Programme\WordPerfect Office X3\Programs\QFSCHD130.EXE"
O4 - HKLM\..\Run: [UCam_Menu] "C:\Programme\HomeCinema\YouCam\MUITransfer\MUIStartMenu.exe" "C:\Programme\HomeCinema\YouCam" update "Software\CyberLink\YouCam\1.0"
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\HomeCinema\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [LanguageShortcut] C:\Programme\HomeCinema\PowerDVD\Language\Language.exe
O4 - HKLM\..\Run: [MGSysCtrl] C:\Programme\System Control Manager\MGSysCtrl.exe
O4 - HKLM\..\Run: [toolbar_eula_launcher] C:\Program Files\GoogleEULA\EULALauncher.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [swg] "C:\Programme\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"
O4 - HKCU\..\Run: [QZAIB7KITK] C:\WINDOWS\Njisaa.exe
O4 - HKCU\..\Run: [mcexecwin] rundll32.exe C:\DOKUME~1\Jonas\LOKALE~1\Temp\qzos7s1x.dll, RestoreWindows
O4 - HKCU\..\Run: [hsf87sdhfush87fsufhuie3fddf] C:\DOKUME~1\Jonas\LOKALE~1\Temp\vahn9m5tb8.exe
O4 - HKCU\..\Run: [newupdate1142C.exe] C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\6B2E6F49EC2CC50D293EAFF8A693E7EA\newupdate1142C.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Antimalware Doctor.lnk = C:\Dokumente und Einstellungen\Jonas\Anwendungsdaten\6B2E6F49EC2CC50D293EAFF8A693E7EA\newupdate1142C.exe
O8 - Extra context menu item: Google Sidewiki... - res://C:\Programme\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html
O8 - Extra context menu item: Öffnen mit WordPerfect - C:\Programme\WordPerfect Office X3\Programs\WPLauncher.hta
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Programme\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - update.microsoft.com/windowsup…eb_site.cab?1211625236765
O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - icq.oberon-media.com/Gameshell…st/1.0/OberonGameHost.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\GEMEIN~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: kjsfi8sjefiuoshiefyhiusdhfdf - {A2BA40A0-74F1-52BD-F411-00B15A2C8953} - C:\WINDOWS\system32\w3zpbz3.dll
O23 - Service: Avira AntiVir Personal – Free Antivirus Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Programme\Gemeinsame Dateien\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: BGRaSvc - Unknown owner - C:\Programme\BullGuard Software\BullGuard\support\bgrasvc.exe (file missing)
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - MAGIX® - C:\Programme\ALDI Foto Service Nord\Common\Database\bin\fbserver.exe
O23 - Service: Google Update Service (gupdate) (gupdate) - Google Inc. - C:\Programme\Google\Update\GoogleUpdate.exe
O23 - Service: Google Software Updater (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICQ Service - Unknown owner - C:\Programme\ICQ6Toolbar\ICQ Service.exe
O23 - Service: iPod-Dienst (iPod Service) - Apple Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Micro Star SCM - Unknown owner - C:\Programme\System Control Manager\MSIService.exe
O23 - Service: ProtexisLicensing - Unknown owner - C:\WINDOWS\system32\PSIService.exe
O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programme\Cyberlink\Shared files\RichVideo.exe
--
End of file - 8776 bytes
Ach und übrings, den Antimalwaredocte bekomm ich einfach nicht weg
-
Ich hoffe dein Englisch ist einigermaßen, habe keine Lust es ganz zu übersetzen. Ist eine wesentlich detailliertere Anleitung als die vom Trojaner Board auch wenn das meiste identisch bleibt.
bleepingcomputer.com/virus-removal/remove-antimalware-doctor
Ansonsten wäre es noch nett wenn du folgendes bei wirustotal.com hochladen könntest:
C:\WINDOWS\Njisaa.exe
Wenn es nicht klappt probiere deinen Scanner auszuschalten, wenn dies nicht schon von der Malware gemacht worden ist.
„Erkläre mir, und ich werde vergessen.
Zeige mir, und ich werde mich erinnern.
Beteilige mich, und ich werde verstehen.“
-
Muss ich bei Quaräntäne bei Malwarebytes auch nochmal alles löschen?
-
SOnst klappt die Scheiße nicht! Ich habs jetzt schon 4 mal ausprobiert!
-
Original von Tolginho91
Seit gestern Nachmittag (nach BuLi) hab ich iwelche Sachen aufm Rechner.
Es öffnen sich Programme wie LED HOTKEY KEYBOARD und Antimalware Doctor von alleine,aber das geile ist ja,dass ich diese Programme nie aufm Rechner hatte bzw habe.
Weder runtergeladen oder sonst was.
Ich gehe davon aus,das ich ein Virus hab und mein PC hängt nach einer bestimmten Zeit und zwingt mich zum Neustart.
Ich weiß nicht wann ich diesen Fehler beheben kann,also kann dauern.
Deswegen melde ich mich auch kurz away.
Mich hats auch erwischt.
Also das was Pep ungefähr auch hatte. -
hilf mir mal bitte jemand.
Nach dem vorschlag von Pep bin ich gegangen.
Hab rkill drauf und malwarebytes anti-malware auch installiert.
Gestern abend hab ich alles suchen und enttfernen lassen,aber iwie ist immernoch das selbe drauf,also hat etwas nicht funktioniert. -
Mein Zeitplan erlaubt es mir im Moment nicht viel zu helfen aber schon mal mit diesem Guide versucht?
411-spyware.com/de/antimalware-doctor-entfernen
Deaktiviert außerdem die Systemwiederherstellung für die Zeit des Entfernens..
windowspower.de/Systemwiederhe…eren-unter-Vista_967.html
„Erkläre mir, und ich werde vergessen.
Zeige mir, und ich werde mich erinnern.
Beteilige mich, und ich werde verstehen.“
-
Teilen