#1 29. März 2007 Hey , ich wurde gehackt ... Ich hab dummerweise eine (glaubich) verseuchte Datei geöffnet ... Ich weiß aber wirklich nicht wie ich den wegbekomme , weil der nicht detected ist :angry: :angry: Das ist der DownloadLink : Download offline!/ (wer keine Ahnung bitte nicht öffnen ^^) Ich hoffe ihr könnt mir sagen wie ich den wegbekomme . Virustotal sagt auch nix an . Hijackthis zeigt auch nix an . AntivirenProgs zeigen auch nix an .... Ich vertraue auf euch + Multi-Zitat Zitieren
#2 29. März 2007 AW: Trojaner eingefangen Ja, das wird ein Trojaner sein. Wer crypted sonst schon eine Datei mit Themida, welches ungefaehr 1MB Overhead hat? Hijackthis MUSS was anzeigen! + Multi-Zitat Zitieren
#3 30. März 2007 AW: Trojaner eingefangen hab mal ne frage woran erkenne ich das denn.... wer wird ja schließlich nicht von antiviren progs geblockt oder so... wie erkenne ich das er mit themida bearbeitet wurde???? mfg master-max + Multi-Zitat Zitieren
#4 30. März 2007 AW: Trojaner eingefangen Entweder kurz mit irgendeinem hex editor öffnen: Download offline!/ oder es gibt auch programme die exe dateien nach packer/crypter abscannen z.b. das da: PROTECTiON iD [public] @DerW0olf poste einfach mal dein Hijackthis logfile hier... + Multi-Zitat Zitieren
#5 30. März 2007 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: Trojaner eingefangen erstelle zwei logfiles und zwar je nach diesen beiden posts Wie verwende Ich HiJackThis richtig. - RR:Board das obere vergleichst du mit dem unteren und das untere zeigst du uns dann. (hier im Code: - tag posten) dazu scannst du deinen rechner exakt nach dieser anleitung [URL=http://www.trojaner-info.de/hijacker/escan.shtml]escan anleitung[/URL] Bearbeite das Logfile (mwav.log) vom Escan indem du die mwav.log mit einem Texteditor öffnest, und jede Zeile/Eintrag die das Wort "infected" enthällt in deiner nächsten Antwort wiedergibts. und um deine frage zu beantworten, wie du das wieder wegbekommst, einfachst und als einzige zu 100% zuverlässige lösung: neuinstallation von windows xp. mfg spotting + Multi-Zitat Zitieren
#6 30. März 2007 AW: Trojaner eingefangen lad dir Spyware Doctor runter das ding entfernt dir wirklich alles was mit Trojanern usw... zutun hat + Multi-Zitat Zitieren
#7 30. März 2007 AW: Trojaner eingefangen sry, aber ich wette mit dir um nicht. jedes programm kann nur das finden, dass es kennt, und wenn spyware doktor etwas nicht kennt kann es das nicht finden. niemand weiß, wieviele noch unbekannte trojaner unterwegs sind ... und spyware doktor läuft auf der windows api ein rootkit, dass die api manipuliert kann von spyware doktor nicht gefunden werden. + Multi-Zitat Zitieren
#8 30. März 2007 AW: Trojaner eingefangen ja das ist schon klar ^^ aber Spyware Doctor beseitigt schon das meiste + Multi-Zitat Zitieren
#9 30. März 2007 AW: Trojaner eingefangen Normaler Hijackthis LOG Code: Logfile of HijackThis v1.99.1 Scan saved at 13:19:33, on 30.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\RTHDCPL.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe C:\Programme\Razer\razerhid.exe C:\Programme\ClipMem Advanced\clipmem.exe D:\Programme\Cfosspeed\cFosSpeed.exe D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe D:\Programme\ICQLite\ICQLite.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AntiVir PersonalEdition Classic\sched.exe C:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\Steam\Steam.exe D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe D:\Programme\Cfosspeed\spd.exe C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\Programme\Razer\razertra.exe C:\Programme\Razer\razerofa.exe C:\Programme\Mozilla Firefox\firefox.exe C:\WINDOWS\system32\wbem\wmiprvse.exe C:\WINDOWS\System32\alg.exe C:\Dokumente und Einstellungen\Philipp\Desktop\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [ClipMemAutoStart] C:\Programme\ClipMem Advanced\clipmem.exe O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\Cfosspeed\cFosSpeed.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ICQLite] D:\Programme\ICQLite\ICQLite.exe O4 - HKCU\..\Run: [steam_start_low] E:\Steam\steam_start_low.bat O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\Programme\Cfosspeed\spd.exe" -service (file missing) O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Im Abgesicherten Modus : Code: Logfile of HijackThis v1.99.1 Scan saved at 13:25:48, on 30.03.2007 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\userinit.exe C:\WINDOWS\Explorer.EXE C:\Dokumente und Einstellungen\Philipp\Desktop\HijackThis.com R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll R3 - URLSearchHook: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - C:\PROGRA~1\FlashGet\jccatch.dll O2 - BHO: Hilfsobjekt für Encarta Web-Begleiter - {955BE0B8-BC85-4CAF-856E-8E0D8B610560} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - C:\Programme\FlashGet\getflash.dll O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - D:\Programme\ICQToolbar\toolbaru.dll O3 - Toolbar: Encarta Web-Begleiter - {147D6308-0614-4112-89B1-31402F9B82C4} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Web Companion\2007\ENCWCBAR.DLL O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [razer] C:\Programme\Razer\razerhid.exe O4 - HKLM\..\Run: [ClipMemAutoStart] C:\Programme\ClipMem Advanced\clipmem.exe O4 - HKLM\..\Run: [cFosSpeed] D:\Programme\Cfosspeed\cFosSpeed.exe O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programme\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [ICQLite] D:\Programme\ICQLite\ICQLite.exe O4 - HKCU\..\Run: [steam_start_low] E:\Steam\steam_start_low.bat O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] D:\Programme\ICQLite\ICQLite.exe -trayboot O8 - Extra context menu item: &Alles mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_all.htm O8 - Extra context menu item: &ICQ Toolbar Search - res://D:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML O8 - Extra context menu item: &Mit FlashGet laden - C:\PROGRA~1\FlashGet\jc_link.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL O9 - Extra button: Encarta Suchleiste - {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Search Bar\ENCSBAR.DLL O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra 'Tools' menuitem: FlashGet - {D6E814A0-E0C5-11d4-8D29-0050BA6940E3} - C:\PROGRA~1\FlashGet\flashget.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - D:\Programme\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: cFosSpeed System Service (cFosSpeedS) - Unknown owner - D:\Programme\Cfosspeed\spd.exe" -service (file missing) O23 - Service: EPGService - Hauppauge Computer Works - C:\PROGRA~1\WinTV\EPG Services\System\EPGService.exe O23 - Service: HauppaugeTVServer - Hauppauge Computer Works - C:\PROGRA~1\WinTV\HCWTVS~1.EXE O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe Ich finde leider keinen Unterschied naja ich versuchs mal mit den anderen Programmen .. ty schonmal allen + Multi-Zitat Zitieren
#10 30. März 2007 AW: Trojaner eingefangen Sorry, aber mit AntiVir wirst Du wohl so einen Trojaner nicht los. Hatte mal ähnliche Probleme und Viren jeder Art, die wurden zwar von AntiVir gefunden, aber entfernen konnte er sie nicht. Dank einer alten Vollversion von Norton2004 konnte ich dann meinen Rechner quasi desinfizieren. Mit Hijackthis kenn ich mich leider überhaupt nicht aus, aber probier es dochmal mit Spy&Bot, der ist ebenfalls sehr gut, ich benutze den selber. Desweiteren kann ich Dir als kostenlosen Virenscanner nur wärmstens Avast! Vers.4.7 ans Herz legen. Der ist richtig gut und Ressourcensparend. Läuft unter anderem auch als Second EngineScanner bei GData AntiVirus2007 Weiterhin kann ich Dir nur empfehlen, das DU dir Trialversionen von Norton, Kaspersky oder Bitdefender runterlädst und installierst. Einer von denen wird ganz sicher was finden. Good Luck! Hoschi347 + Multi-Zitat Zitieren
#11 30. März 2007 AW: Trojaner eingefangen Hi Das ist ein Trojaner, der crypted ja nicht ohne grund eine Datei an. Versuche mal den PC zu Formatieren. mfg snake + Multi-Zitat Zitieren
#12 31. März 2007 AW: Trojaner eingefangen wie funzt das mit dem programm aus gamecopyworld??? scan gerad eine datei von mir wo ich weiß das das mit themider bearbeitet worden ist.. das dauert ziemlich lange und da steht "scan complete ..pls waiting.." so steht das da... fals gleich was kommen sollte editiere ich mal mfg master-max edit :: es ist immer noch nicht fertig aber ich hab mir jetzt so nen hex editor geholt.... ich kann schlecht selbst nach dem suchbegriff "themida" suchen da es unzählige seiten sind daher bin ich auf suche gegangen aber dort hat er nix gefunden ???? komisch denn ich hab extra eins erstellt und themida drüberlaufen lassen + Multi-Zitat Zitieren