#1 16. Juli 2010 Hi Leute ich hab mal wieder ein Problem und hoffe Ihr könnt mir dabei helfen Wie der Titel schon sagt geht es um eine Datei namens "♂️♀️Pic.scr". Ich hab mich schon n bisschen über solche *.scr Dateien informiert und gelesen dass sie ein Trojaner sein sollen. In anderen Foren hab ich allerdings gelesen das es eine Malware sei die Sohanad oder so Herunterladen würde. Nunja mir geht es aber nicht um irgendwelche scr Dateien sondern um die "♂️♀️Pic.scr". Sie tauchte das erste mal so ca. im Mai auf meiner externen Festplatte auf daraufhin hab ich sie einfach gelöscht. So heute hab ich wieder mal durch den PC geschaut als ich sie wieder fand und auch auf der externen ist sie. Ich hab keine ahnung woher ich die hab. Ist sie gefährlich? Bitte helft mir. Danke! + Multi-Zitat Zitieren
#2 16. Juli 2010 AW: ♂️♀️Pic.scr Soweit ich weiß, soll die Datei ein PW Stealer sein.. hab das mal in nem Hack Forum gelesen G Logger, heißt des Ding wie mans kriegt und wegbekommt keine ahnung sorry :S mfG + Multi-Zitat Zitieren
#3 16. Juli 2010 AW: ♂️♀️Pic.scr Danke für die schnelle antwort auch wenn sie nciht wirklich hilft. (Gibt wenigstens hoffnung ) Naja zum Thema PW-Stealer: Wie man sieht besitze ich meinen Account bei euch noch und es wurde auch nichts gemacht was nicht ich gemacht habe. (Genau wie bei allen anderen Accounts die ich sonst noch irgendwo hab.) Ja sogar mein PayPal-Acc ist unberührt^^ + Multi-Zitat Zitieren
#4 17. Juli 2010 AW: ♂️♀️Pic.scr it das kann alles mögliche sein man kan es doch nennen wie man will das es auf deiner externen ist hört sich stark nach malware spreading an sowas haben viele bots oder trojaner, zb du schließt deine hdd bei deinem kumpel an der infiziert ist der bot oder auch trojaner legt dann diesen schadcode auf jeden wechseldatenträger in der hoffnung das du die datei ausführst und auch infiziert bist das selbe spiel gilt dann auch bei dir + Multi-Zitat Zitieren
#5 17. Juli 2010 AW: ♂️♀️Pic.scr Gut jetzt weis ich bescheid. Aber ich weis noch nicht wie ich den Trojaner/Bot ... entfernen soll. Gibts da n Programm? Ich hab nämlich keine Lust Windoof neu zu installieren, wobei das nicht schlecht wäre. Was empfehlt Ihr mir? + Multi-Zitat Zitieren
#6 17. Juli 2010 Zuletzt von einem Moderator bearbeitet: 15. April 2017 AW: ♂️♀️Pic.scr gehe nach diesem Thread vor: /threads/trojaner-malware-schuetzen-finden-entfernen.505083/ und poste dann einen HijackthisLog. Den werten dann hier ein paar Leute aus. Ggf auch noch mit Malwarebytes http://www.hijackthis-forum.de/tipps-tricks/27959-malwarebytes-anti-malware-anleitung.html durchführen und einen "kompletten Scan" machen und auch diesen Log hier post. Wenn du das getan hast, bist du evtl. den Schädling schon los, oder ..... du musst doch in den sauren Apfel beißen und neu aufsetzen. Gruß R0cka + Multi-Zitat Zitieren
#7 17. Juli 2010 AW: ♂️♀️Pic.scr HijackthisLog: Code: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 12:13:08, on 17.07.2010 Platform: Unknown Windows (WinNT 6.01.3504) MSIE: Internet Explorer v8.00 (8.00.7600.16385) Boot mode: Normal Running processes: C:\Program Files (x86)\Vtune\TBPANEL.exe C:\Program Files (x86)\ICQ7.0\ICQ.exe C:\Program Files (x86)\Java\jre6\bin\jusched.exe C:\Program Files (x86)\Mozilla Firefox\firefox.exe C:\Program Files (x86)\Winamp\winampa.exe C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe C:\Program Files (x86)\ROCCAT\Kone Mouse\KoneHID.EXE C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe C:\Program Files (x86)\ROCCAT\Kone Mouse\osd.exe C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe C:\Users\Dendor\Downloads\mbam-setup-1.46.exe C:\Users\Dendor\AppData\Local\Temp\is-V00NG.tmp\mbam-setup-1.46.tmp C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.icq.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: (no name) - - (no file) F2 - REG:system.ini: UserInit=userinit.exe O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing) O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O3 - Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - (no file) O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing) O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe" O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files (x86)\Winamp\winampa.exe" O4 - HKLM\..\Run: [AVP] "C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe" O4 - HKLM\..\Run: [Kone] "C:\Program Files (x86)\ROCCAT\Kone Mouse\KoneHID.EXE" O4 - HKLM\..\Run: [DivXUpdate] "C:\Program Files (x86)\DivX\DivX Update\DivXUpdate.exe" /CHECKNOW O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [Skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [TBPanel] C:\Program Files (x86)\Vtune\TBPanel.exe /A O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - HKCU\..\Run: [Speech Recognition] "C:\Windows\Speech\Common\sapisvr.exe" -SpeechUX -Startup O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKCU\..\Run: [ICQ] "C:\Program Files (x86)\ICQ7.0\ICQ.exe" silent loginmode=4 O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST') O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST') O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST') O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST') O4 - Startup: CurseClientStartup.ccip O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm O8 - Extra context menu item: Nach Microsoft E&xel exportieren - res://C:\PROGRA~2\MICROS~3\Office12\EXCEL.EXE/3000 O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O9 - Extra button: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ7 - {88EB38EF-4D2C-436D-ABD3-56B232674062} - C:\Program Files (x86)\ICQ7.0\ICQ.exe O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~2\COMMON~1\Skype\SKYPE4~1.DLL O20 - AppInit_DLLs: C:\PROGRA~2\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~2\KASPER~1\KASPER~1\sbhook.dll O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files (x86)\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @C:\Program Files (x86)\Nero\Update\NASvc.exe,-200 (NAUpdate) - Nero AG - C:\Program Files (x86)\Nero\Update\NASvc.exe O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 8693 bytes und Malwarebytes dauert sicher noch n bisschen das poste ich dann nacher. Edit: Code: Malwarebytes' Anti-Malware 1.46 www.malwarebytes.org Datenbank Version: 4321 Windows 6.1.7600 Internet Explorer 8.0.7600.16385 17.07.2010 13:05:18 mbam-log-2010-07-17 (13-05-18).txt Art des Suchlaufs: Vollständiger Suchlauf (C:\|X:\|Z:\|) Durchsuchte Objekte: 262977 Laufzeit: 47 Minute(n), 26 Sekunde(n) Infizierte Speicherprozesse: 0 Infizierte Speichermodule: 0 Infizierte Registrierungsschlüssel: 0 Infizierte Registrierungswerte: 0 Infizierte Dateiobjekte der Registrierung: 0 Infizierte Verzeichnisse: 0 Infizierte Dateien: 4 Infizierte Speicherprozesse: (Keine bösartigen Objekte gefunden) Infizierte Speichermodule: (Keine bösartigen Objekte gefunden) Infizierte Registrierungsschlüssel: (Keine bösartigen Objekte gefunden) Infizierte Registrierungswerte: (Keine bösartigen Objekte gefunden) Infizierte Dateiobjekte der Registrierung: (Keine bösartigen Objekte gefunden) Infizierte Verzeichnisse: (Keine bösartigen Objekte gefunden) Infizierte Dateien: C:\Spiele\Call of Duty 4\Key\CoD4 KEYGEN.exe (HackTool.Keygen) -> No action taken. C:\Users\Dendor\AppData\Local\Temp\File2.exe (Trojan.Agent) -> No action taken. X:\Neuer Ordner\Spiele\Call of Duty 4\Key\CoD4 KEYGEN.exe (HackTool.Keygen) -> No action taken. C:\Users\Dendor\AppData\Local\Temp\svchost.exe (Trojan.Agent) -> No action taken. also den keygen kann ich ja behalten oder? wie siehts mit svchost.exe und File2.exe aus? Soll ich sie entfernen?? Ok File2.exe is glaub nur n Bot (Rechtsklick --> Eigenschaften --> Details --> Originaldateiname: bot.exe) und kommt von der Dateie ♂️♀️Pic.scr + Multi-Zitat Zitieren
#8 17. Juli 2010 AW: ♂️♀️Pic.scr svchost.exe und File2.exe sollten entfernt werden, die gehören da nämlich nicht rein bei hijackthis fixen: R3 - URLSearchHook: (no name) - - (no file) O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing) O3 - Toolbar: (no name) - {DFEFCDEE-CF1A-4FC8-88AD-48514E463B27} - (no file) O3 - Toolbar: Nero Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll (file missing) ps: *.scr sind nicht immer trojaner, die endung haben normalerweise bildschirmschoner in deinem fall is es aber zu 100% ein bot/trojaner. + Multi-Zitat Zitieren
#9 17. Juli 2010 AW: ♂️♀️Pic.scr Die 4 auswählen (also häckchen setzte) und auf fix checked klicken? + Multi-Zitat Zitieren
#10 17. Juli 2010 AW: ♂️♀️Pic.scr richtig. Dein Problem sollte dann komplett behoben sein HJT und Malwarebytes hätten dann alles erledigt. Die Datei File2.exe hättest du auch bei Jotti noch mal hochladen und auswerten lassen. Nun ist sie aber weg und das ist auch gut so Schönes WE R0cka + Multi-Zitat Zitieren
#11 17. Juli 2010 AW: ♂️♀️Pic.scr Kannste mir mal die Datei auf xup.in hochladen ? Will sie mir mal ansehen ... Von mir aus auch über PN bb. master80 + Multi-Zitat Zitieren
#12 17. Juli 2010 AW: ♂️♀️Pic.scr Sorry musst nen anderen Infizierten suchen. Danke an alle die mir geholfen haben. + Multi-Zitat Zitieren
#13 17. Juli 2010 AW: ♂️♀️Pic.scr Nochmal fürs Protokoll: scr-Dateien sind vom Konzept her Bildschirmschoner. Allerdings dient die Endung nur dazu, dass Windows sie als solche erkennt. Allgemein sind .scr-Dateien ganz normale Anwendungen. Eine .scr sollte also genauso vorsichtig behandelt werden wie eine .exe oder eine .com. Es kommt immer auf die Umstände an. Wenn du dir von einer seriösen Seite einen Bildschirmschoner gezogen hast, musst du dir keine Gedanken machen. Ansonsten aber schon. + Multi-Zitat Zitieren
#14 17. Juli 2010 AW: ♂️♀️Pic.scr Ich wusste ja nichtmal woher die Datei kam. Der name war so verlockend + Multi-Zitat Zitieren
#15 17. Juli 2010 AW: ♂️♀️Pic.scr Wie schon erwähnt .. *.scr ist eigentlich eine screensaver datei ..allerdings werden dort sehr oft viren/trojaner/würmer etc untergebracht bzw einem untergejubelt weil viele halt denken "ooh ein bildschirmschoner direkt ma installieren" .. (so wie bei dir geschehen) und zack hast nen virus/wurm oder trojaner .. (egal welcher art) + Multi-Zitat Zitieren