Backdoor Trojaner "S.O.S"

Dieses Thema im Forum "Sicherheit" wurde erstellt von scott-vincent, 29. Oktober 2004.

Status des Themas:
Es sind keine weiteren Antworten möglich.
  1. scott-vincent

    scott-vincent Byte

    Registriert seit:
    8. Juli 2004
    Beiträge:
    17
    Halli Hallo,

    bitte um dringende Hilfe da mein System meiner Meinung nach ein Trojaner beherrscht. Laut Kaspersky ist es ein Backdoor Troj.

    C:\WINDOWS\System32\svchost.exe
    D:\photoexpress\CalCheck.exe
    D:\INCRED~1\bin\IMApp.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
    C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
    C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\update.exe

    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = about:blank
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext
    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
    F0 - system.ini: Shell=
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,
    O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)
    O2 - BHO: (no name) - {637FCA7D-B7E3-476F-8D2F-9382FC654703} - C:\WINDOWS\System32\ihfiea.dll (file missing)
    O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)
    O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
    O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe
    O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE
    O4 - HKLM\..\Run: [*******Tray] "D:\*******\*******Tray.exe" /s
    O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
    O4 - HKLM\..\Run: [HotKey] C:\WINDOWS\Twain_32\SlimU2\HotKey.exe
    O4 - HKLM\..\Run: [mvgagxdageik] C:\WINDOWS\System32\ydhfyuw.exe
    O4 - HKLM\..\Run: [OfficeGuard RegChecker] D:\kaspersky\ogrc.exe
    O4 - HKLM\..\Run: [AVPCC] D:\kaspersky\avpcc.exe /wait
    O4 - HKLM\..\Run: [Microsoft Update] msconfg.exe
    O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Programme\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay
    O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe
    O4 - HKCU\..\Run: [IncrediMail] D:\INCRED~1\bin\IncMail.exe /c
    O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe
    O4 - Startup: Reboot.exe
    O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE
    O4 - Global Startup: Ulead Kalendar Checker 4.0 SE.lnk = D:\photoexpress\CalCheck.exe
    O8 - Extra context menu item: &Add animation to IncrediMail Style Box - D:\INCRED~1\bin\resources\WebMenuImg.htm
    O8 - Extra context menu item: &Search -
    O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\MICROS~1\Office10\EXCEL.EXE/3000
    O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
    O15 - Trusted Zone: *.searchmeup.cc
    O15 - Trusted Zone: *.skoobidoo.com
    O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab[/url]
    O16 - DPF: {91433D86-9F27-402C-B5E3-DEBDD122C339}
    O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class)

    Hier ist der Kaspersky Log !!!

    Virus:Eicar.Mod No disinfected C:\Dokumente und Einstellungen\Franz\Eigene Dateien\softwareshortcuts\kav\kav\Kaspersky.AV.Personal.Pro\data1.cab[eicar.html]
    Virus:Trj/StartPage.FH No disinfected C:\Dokumente und Einstellungen\Franz\Lokale Einstellungen\Temp\sp.html
    Virus:Trj/Downloader.GK Disinfected C:\WINDOWS\LastGood\System32\polall1m.exe
    Virus:Trj/Downloader.GK Disinfected C:\WINDOWS\system32\polall1m.exe
    Virus:W32/Sdbot.AOH.worm Disinfected C:\WINDOWS\system32\TFTP2288
    Virus:Eicar.Mod Renamed D:\kaspersky\eicar.html
     
  2. Nevok

    Nevok Ganzes Gigabyte

    Registriert seit:
    3. Oktober 2002
    Beiträge:
    12.196
    Hallo scott-vincent

    Folgende Einträge solltest du fixen:


    R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

    O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file)

    O2 - BHO: (no name) - {637FCA7D-B7E3-476F-8D2F-9382FC654703} - C:\WINDOWS\System32\ihfiea.dll (file missing)

    O2 - BHO: (no name) - {9C691A33-7DDA-4C2F-BE4C-C176083F35CF} - (no file)

    O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

    O4 - HKLM\..\RunServices: [Microsoft Update] msconfg.exe

    O4 - HKCU\..\Run: [Microsoft Update] msconfg.exe

    O4 - Global Startup: MyWebSearch Email Plugin.lnk = C:\Programme\MyWebSearch\bar\1.bin\MWSOEMON.EXE

    O15 - Trusted Zone: *.searchmeup.cc

    O15 - Trusted Zone: *.skoobidoo.com

    O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe

    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab[/url]


    Die Datei sp.html aus dem Verzeichnis C:\Dokumente und Einstellungen\Franz\Lokale Einstellungen\Temp\ solltest du löschen.

    Gruß
    Nevok
     
Status des Themas:
Es sind keine weiteren Antworten möglich.

Diese Seite empfehlen