Hi@all!
is mein erster beitrag-bin noch neu hier!
-und schon mein erstes problem:
hab die tage 185 trojaner vom laptop geholt!
Finde das urbiest aber nicht!
meine letzte rettung vor FORMAT C: ist Anti Trojan Elite, welches ich als 4.9.8 release bereits installiert habe.
Leider als unregistrierte Version!
Die maleware wird zwar gefunden, mehr geht aber auch nicht!
Hab ne Avira prof. suite als lizenzierte vollversion.
die beseitigt zwar ständig Trojaner aber eben nicht endgültig.
Wie komm ich (evtl)doch noch ums formatieren rum???

Hört sich eher danach an das jede .exe infected wurde.
Shellinfect unso.
Ich würde formatieren, nichts ist da dann noch wirklich sicher.. Wer weiß denn wie viele noch FUD auf deinem PC rumlungern? :)

HiJackThis runterladen nen kompletten Scan machen und dann hier posten.

Hier gekekste Version (Elite 4.7.5) : E: Darf man die hier rein stellen??
pw: fh.com

Würde aber formatieren

a-squared anti-malware könnte ich empfehlen, zwar tauchen ab und zu fehlwarnungen auf ,wenn du fleißig am programmieren bist, jedoch findet er fast alle dateien die was machen, was sie nicht sollen


trotzdem würde ich dir empfehlen zur sicherheit lieber noch zusätzlich formatieren

so..!
erstmal danke für links und tips an alle!
häte nicht mit so viel und schneller resonanz gerechnet!!!
hab den trojancheck mal eben durchgejagt und hier die Loglist für Apex;-hoffe sie hilft dir weiter:

also bis vor kurem hatte ich auch trojaner auf mein computer

formatiren hilft sehr gut man kann sich ja die wichtigen datein sichern bei windows vista eben falls

also wenn du ein usb stick oder 4usb sticks hast mit viel speicher pack die datein die du brauchst drauf formatier C: ja dann packste widda alles einfach drauf

so..!
erstmal danke für links und tips an alle!
häte nicht mit so viel und schneller resonanz gerechnet!!!
hab den trojancheck mal eben durchgejagt und hier die Loglist für Apex;-hoffe sie hilft dir weiter:H:\hijackthis logfile13.06 (h:%5Chijackthis%20logfile13.06)

Wenn das soviele Trojaner waren, dann würde ich auf jeden Fall formatieren. Entweder es handelt sich um Malware, die andere Dateien infiziert oder aus dem Internet weiter Malware runterlädt. Das bekommst du nicht mehr richtig weg. Du solltest auf jeden Fall formatieren.

Wie zum henker bekomm ich die log.datei von meiner Platte hier für euch sichtbar hochgeladen?
klingt komisch-find ich aber gar nicht...ich blick hier noch nich so ganz durch...!!

Poste den Inhalt der Log Datei. Die Datei bekommste so nicht hochgeladen.

Inhalt posten oder hochladen auf z.b. Rapidshare.
Wobei Inhalt posten einfach er wäre.

magnet:?&xt=urn:sha1:VGMLTQJ34FDYDL6NCUDISUSHWUGNG4WB&dn=hijackthis+logfile13.06&xs=http://192.168.178.20:30215/uri-res/N2R?urn:sha1:VGMLTQJ34FDYDL6NCUDISUSHWUGNG4WB&xs=urn:guid:07F4DEA04EC215AFC4E77EE78A7BF500&xl=6328

vorerst gehts nur so! hoffe der link funzt!
Posten ist in bearbeitung....

Öffne die Datei doch einfach nur mit dem Editor und kopiere den Inhalt hier rein?! O.o

Bringt nichts. Kopier den Log hier rein und stell den Link in dein Edit oder in einen neuen Beitrag.

Sonst klick halt einfach auf "Do a systemscan and safe logfile" und kopier dann einfach alles hier rein (wenn er den editor öffnet).

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 17:19:28, on 13.06.2010
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\system32\sdra64.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Avira\AntiVir Desktop\avgnt.exe
C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\SystemProc \lsass.exe
C:\Programme\TOSHIBA\TOSHIBA Controls\TFncKy.exe
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe
C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexStoreSvr.exe
H:\HiJackThis204.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = Bing (http://go.microsoft.com/fwlink/?LinkId=54896)
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = MSN.com (http://go.microsoft.com/fwlink/?LinkId=69157)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDO WS\system32\sdra64.exe,
O2 - BHO: (no name) - {0BE38B5E-2948-4E5D-8BA7-5967A739005b} - C:\WINDOWS\system32\eapsvc32.dll
O2 - BHO: (no name) - {138F730C-2E35-4207-BEF2-77DAE3125E41} - C:\WINDOWS\system32\fldrclnr32.dll
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programme\Gemeinsame Dateien\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Programme\Real\RealPlayer\rpbrowserrecordplugin .dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programme\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programme\Java\jre6\lib\deploy\jqs\ie\jqs_plugi n.dll
O3 - Toolbar: (no name) - {10EDB994-47F8-43F7-AE96-F2EA63E9F90F} - (no file)
O3 - Toolbar: TerraTec Home Cinema - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\PROGRA~1\TerraTec\TerraTec Home Cinema\ThcDeskBand.dll
O4 - HKLM\..\Run: [avgnt] "C:\Programme\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Anti Trojan Elite] C:\Programme\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKLM\..\Run: [TFncKy] TFncKy.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [RTHDBPL] C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\SystemProc \lsass.exe
O4 - HKCU\..\Run: [userinit] C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\sdra64.exe
O4 - HKCU\..\Run: [Anti Trojan Elite] C:\Programme\Anti Trojan Elite\TJEnder.exe :NO
O4 - HKCU\..\Run: [{164073B4-489B-428A-E290-A137FFF961B4}] "C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\Baguuk\ocp i.exe"
O4 - HKCU\..\Run: [HijackThis startup scan] H:\HijackThis.exe /startupscan
O4 - HKLM\..\Policies\Explorer\Run: [RTHDBPL] C:\Dokumente und Einstellungen\admin\Anwendungsdaten\SystemProc\lsa ss.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Programme\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ6 - {E59EB121-F339-4851-A3BA-FE49C35617C2} - C:\Programme\ICQ6.5\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O20 - AppInit_DLLs: C:\WINDOWS\system32\es32.dll
O20 - Winlogon Notify: 387f01e2918 - C:\WINDOWS\system32\es32.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: 3DSP Corporation Monitor Service - Unknown owner - C:\Programme\3DSP\BluetoothWLAN_usb\Utilities\USBM s.exe
O23 - Service: Avira Firewall (AntiVirFirewallService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avfwsvc.exe
O23 - Service: Avira AntiVir MailGuard (AntiVirMailService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avmailc.exe
O23 - Service: Avira AntiVir Planer (AntiVirSchedulerService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Avira AntiVir WebGuard (AntiVirWebService) - Avira GmbH - C:\Programme\Avira\AntiVir Desktop\AVWEBGRD.EXE
O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\BTNtService.exe
O23 - Service: Bonjour-Dienst (Bonjour Service) - Apple Inc. - C:\Programme\Bonjour\mDNSResponder.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programme\Java\jre6\bin\jqs.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Programme\Gemeinsame Dateien\Ahead\Lib\NMIndexingService.exe
O23 - Service: Start BT in service - Unknown owner - C:\Programme\IVT Corporation\BlueSoleil\StartSkysolSvc.exe
O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Programme\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

--
End of file - 6327 bytes




Gibts ja garnich!!! so leicht kanns gehen! Danke für eure geduld....!

C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\SystemProc \lsass.exe
Das mal auf Rapidshare (am besten mit PW).

Nochmal die Frage: Darf ich ihm/ihr hier den DL-Link zu nem gecrackten remove tool reinstellen?

@Styler Die Datei ist nicht schädlich.. Die Datei ist der lokale Sicherheitsdienst auf deinem PC und steuert die Richtlinen für die User.. Der Grund der Datei ist, dass man nicht als Administrator eingelogt ist oder auf bestimmte Daten keinen Zugriff hat.

C:\WINDOWS\system32\sdra64.exe <- Die Datei ist schädlich. Bitte den Computer im abgesicherten Modus starten und die Datei dann löschen oder umbennen, wobei löschen besser wäre. DAnach startest du den Computer neu und gehst in deine Regstry. Danach navigierst du zu:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon

und dort machste einen Doppelklick auf den "Userint" Eintrag und entfernst alles nach dem Kommer. Danach starteste wieder neu und machst wieder einen HiJackThislog und postest wieder hier.

@Styler Die Datei ist nicht schädlich.. Die Datei ist der lokale Sicherheitsdienst auf deinem PC und steuert die Richtlinen für die User.. Der Grund der Datei ist, dass man nicht als Administrator eingelogt ist oder auf bestimmte Daten keinen Zugriff hat.

C:\WINDOWS\system32\sdra64.exe <- Die Datei ist schädlich. Bitte den Computer im abgesicherten Modus starten und die Datei dann löschen oder umbennen, wobei löschen besser wäre. DAnach startest du den Computer neu und gehst in deine Regstry. Danach navigierst du zu:

HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/WindowsNT/CurrentVersion/Winlogon

und dort machste einen Doppelklick auf den "Userint" Eintrag und entfernst alles nach dem Kommer. Danach starteste wieder neu und machst wieder einen HiJackThislog und postest wieder hier.

Doch es handelt sich sehr wahrscheinlich um einen Virus, der sich nur genauso wie die systemdatei nennt. Die richtige lsass.exe liegt im Systemverzeichnis.

EDIT: Es ist 100% ein Virus, da es hier beim Systemstart ausgeführt wird. Typisch für malware. Vermutlich einer der Vielen Trojaner.
O4 - HKCU\..\Run: [RTHDBPL] C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\SystemProc \lsass.exe

Jap - denke schon..
Sowas dürfte noch nicht unter Warez fallen..
Dient ja zur Hilfe..
Wenn nicht schreibs per PM..
Aber das wird so auch in Ordnung sein.

Stimmt, du hast Recht. Tut mir leid für diesen Vorwurf, hab jetzt garnicht auf den Pfad geachtet. :S

Hier das Trojaner Enfern Programm

http://rapidshare.com/files/398242628/AT_LOL.rar
pw: fh.com

Thanks, dachte schon ich hätte die sicherungskopie der starteinträge hochgeladen!:p
werd das tool gleich mal testen.

Aber trotzdem: Soll ich die bootprotokolierung (wesentlich grösser) auch mal rein setzen?-vielleicht bringt´s ja was?!


Doch es handelt sich sehr wahrscheinlich um einen Virus, der sich nur genauso wie die systemdatei nennt. Die richtige lsass.exe liegt im Systemverzeichnis.

EDIT: Es ist 100% ein Virus, da es hier beim Systemstart ausgeführt wird. Typisch für malware. Vermutlich einer der Vielen Trojaner.
O4 - HKCU\..\Run: [RTHDBPL] C:\Dokumente und Einstellungen\Josephine\Anwendungsdaten\SystemProc \lsass.exe



Soll ich die auch besser löschen?

Hi@ all!
Da bin ich wieder!-frisch gebacken mit sauber formatierter Festplatte!
Es ging aufeinmal mega schnell...
je näher ich dem Trojaner kam umso biestiger wurd er!
Telefonanschluss gelöscht, Verknüpfungen unbrauchbar gemacht, Benutzerkonten immerwieder verändert sowie verschiedenste zugangsdaten zu Programmen und Portalen verändert bzw gelöscht!:twisted
Puh!!!
Hab über ne LiveCD das wichtigste retten können!

Aufjeden fall hab ich für die nächste Malware was dazu gelernt!

Also Dank an alle für eure tatkräftige Unterstützung!
werden uns jetzt öfter seh´n!

mfg xAndrex:lol