Trojaner Autostart Problem

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • Trojaner Autostart Problem

      Hallo,

      ich hab ein Problem: letztens habe ich Tune-Up Utilies aufgemacht und unten in den Meldungen wurde mir ein neues Autostartprogramm angezeigt. Ich schaue mir das an und bemerke das das keinen Sinn macht und lasse mein Kaspersky mal suchen. Das Programm hat den Namen "PUT2VIDQLG.exe". Kaspersky hat dann auch tatsächlich einige Trojaner und Trojan-Downloader gefunden und gelöscht oder desinfiziert, das Programm ist aber immer noch da. Ich hab versucht das aus den Autostart-Programmen zu löschen mit Tune-Up, aber jetzt nach einem Neustart ist es wieder da, und auch wenn ich es nur ausschalte kommt es immer wieder. Was kann ich da tun?

      Gruß, Max
      sei epsilon kleiner null...

    • Mmh, hier ist das Log:

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 20:54:39, on 03.01.2010
      Platform: Unknown Windows (WinNT 6.01.3504)
      MSIE: Internet Explorer v8.00 (8.00.7600.16385)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\taskhost.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Users\face\AppData\Local\Temp\c.exe
      C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
      C:\Program Files\DellTPad\Apoint.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
      C:\Program Files\Steam\Steam.exe
      C:\Program Files\Xfire\Xfire.exe
      C:\Program Files\DellTPad\ApMsgFwd.exe
      C:\Program Files\DellTPad\Apntex.exe
      C:\Program Files\DellTPad\HidFind.exe
      C:\Windows\system32\conhost.exe
      C:\Program Files\TuneUp Utilities 2010\integrator.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
      C:\Program Files\TuneUp Utilities 2010\StartUpManager.exe
      C:\Windows\regedit.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
      O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
      O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
      O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
      O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
      O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
      O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
      O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
      O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
      O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
      O13 - Gopher Prefix:
      O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
      O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
      O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
      O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\RWTH OpenVPN Client\bin\openvpnserv.exe
      O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
      O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
      O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

      --
      End of file - 4997 bytes


      Sagt mir aber jetzt nichts... hatte den Autostart jetzt mit TuneUp nochmal blockiert aber bringen tuts nichts...


      Ich hab unter dem Namen was in der Registry gefunden, wenn ich das lösche tille ich damit nur die Symptome oder ist der Scheiß dann ganz weg? 2 Dateien gefunden eine ohne Namen und Daten die andere mit dem oben genannten Namen und als Daten C:\Users\face\AppData\Local\Temp\c.exe
      sei epsilon kleiner null...

    • Ok.. log sieht unauffällig aus.
      Lösche am besten den ganzen Ordner C:\Users\face\AppData\Local\Temp und den entsprechenden Eintrag in der regedit.

      Danach nochmal den Scanner laufen lassen und schauen ob der Eintrag noch vorhanden ist.

    • Das Tuneup war bestimmt ein inoffizielles.....hatte ich auch schon mal. Irgend so nen Spassvogel hat ne Tuneup-Version verseucht...



      ...mein System war damals im Arsch, und der USB Stick wo es drauf war auch.



      Wird Dir noch einige Probs machen.



      Gruß, Thomas
      XPS430
      QX9650 :love:
      2Gb RAM
      640 Gb RAID0
      3870x2

      Amilo
      15" WXGA,GeForce 9300M GS,Core 2 Duo P8600(2,4GHz),4096MB DDR2,320GB

    • Ne ist ein nagelneues Tune-Up 2010, frisch aus dem Laden. Ok, ich hab jetzt eben unter TuneUp das Programm nochmal angemacht und kurz darauf kamen auch zwei Meldungen von Kaspersky, eine bezüglich der benannten Datei, die andere wegen einer names %\msa.exe. Hab das dann desinfiziert und als Autostartprogramm ist es jetzt noch nicht aufgetaucht. Suche grade mal in der Registriergung... er hat da unter Software jetzt einen ganzen Ordner gefunden auf einmal, den hab ich jetzt gelöscht... vielleicht habe ich ja Glück gehabt, ich hoffe es zumindestens. Ich will nicht schon wieder das System neu aufsetzen...


      EDIT: Auch nach einem Neustart kann ich noch nichts finden... scheint wohl weg zu sein (bitte bitte bitte *klopfaufholz*). Hat mich ja nur 1,5 Stunden gekostet -.- Welches ARSCH denkt sich so einen Scheiß aus?!?
      sei epsilon kleiner null...

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von face ()

    • Für mich sieht das C:\Users\face\AppData\Local\Temp\c.exe nach dem Schädling aus.

      Meine Vorgehensweise, wäre:

      CCleaner durchlaufen lassen
      SpyHunter 3 durchlaufen lassen

      Dann das aktualisierte Avira einmal drauf loslassen.

      Meines Wissens kann, alternativ zu Avira, Kaspersky den Schädling ausfinding und unschädlich machen, eventuell mal eine Testversion davon ausprobieren
      Kaspersky Anti Virus 2010 Testversion

      //edit:
      Ok, scheint sich ja erledigt zu haben!
      Dann mal TeuTeuTeu, dass das so bleibt =)
      (☞゚ヮ゚)☞............ (⊙ˍ⊙) ...............☜(゚ヮ゚☜)

    • Foofth schrieb:

      njoa.. wenn kaspersky auch nix findet, dann kannst du wohl davon ausgehen, dass es weg ist. Zur sicherheit würd ich nochmal malwarebytes.org/mbam.php drüber laufen lassen.
      Fuck, genau^^

      Malwarebytes Anti Malware ist das ziemlich beste Gratistool das gibt, das wollte ich dir auch empfehlen!

      SpyHunter 3, wie komm ich denn darauf?
      Bei der Testversion von SpyHunter 3, kann man zwar "Finden" aber nicht "Löschen"!

      Den Einzigen Vorteil den SpyHunter 3 hat ist die PreOS Virenerkennung, wenn du einen fiesen Trojaner hast, der dein Antivirenprogramm unterdrückt!
      (☞゚ヮ゚)☞............ (⊙ˍ⊙) ...............☜(゚ヮ゚☜)

    • Ich hatte auch mal so eine a.exe drauf in meinen Temp-Files...ließ sich nicht löschen oder sonst was (gelöscht, wurde eine neue erstellt), habe ich eine künstliche a.exe hergestellt, tauchte eine b.exe auf -.- . Diese Dateien haben andere *.dat Dateien erstellt, welche immer wieder ein Internetexplorer-Fenster eröffneten und Werbung anzeigten. Der Ursprung zur Erzeugung der exe-Datein lag in einem System32 Ordner und diese ließen sich nicht mal mit erweiterter Adminstrator-Berechtigung entfernen.

      Um es kurz zu machen: ich habe neu Windows installiert... hoffe dir bleibt das erspart, aber diese Dinger sind wirklich furchtbar hartnäckig :cursing:
      XPS M1530
      Midnight-Blue | T8300 | 3GB RAM | 200GB HDD@7.2000 U/min | 8600M GT | WXGA+

    • Also wenn ich dieses Hijack Ding benutze findet sich da immer noch sowas %\Temp\c.exe. Aber ich hab es noch nie gehabt das sich der Internetexplorer selber geöffnet hat, generell ist mir das nur über Tune-Up aufgefallen. Könnte das jetzt noch ein Problem machen? Ich mache immer Online-Banking über meinen PC, aber mit Kaspersky worüber dann Firefox im abgesichten Modus gestartet wird. Ansonsten habe ich eigentlich keine sensiblen Dateien, die PWs sind nirgends gespeichert. Kaspersky findet nichts, bis auf das was er vorher gefunden und erfolgreich gelöscht hat. Das Malware-Ding hat zweimal Trojan.Fake-Alert gefunden und gelöscht. Was macht dieses c.exe? Können die meine Dateien einsehen oder wie? Doch eigentlich nicht. Also ich meine, geht davon jetzt noch irgendeine Gefahr aus?
      sei epsilon kleiner null...

    • genau den Kram mit den Internetseiten etc. hatte ich auch. Und das entpackte Programm auf dem USB Stick, hat jeden rechner nur beim Einstecken des USB Sticks infiziert. Und den Zugriff selbst über die Datenträgerverwaltung dicht gemacht.
      XPS430
      QX9650 :love:
      2Gb RAM
      640 Gb RAID0
      3870x2

      Amilo
      15" WXGA,GeForce 9300M GS,Core 2 Duo P8600(2,4GHz),4096MB DDR2,320GB

    • Ja kann wohl malware runterladen irgendwie und dann kommt immer CCleaner nutzen, das Anti-Malwareprog etc... hab ich alles gemacht und alles unauffällig. Hab jetzt gerade nochmal geschaut also im Taskmanager findet sich kein c.exe. Hijack hat auch kein c.exe. Hier das File:

      Logfile of Trend Micro HijackThis v2.0.2
      Scan saved at 22:38:14, on 04.01.2010
      Platform: Unknown Windows (WinNT 6.01.3504)
      MSIE: Internet Explorer v8.00 (8.00.7600.16385)
      Boot mode: Normal

      Running processes:
      C:\Windows\system32\taskhost.exe
      C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesApp32.exe
      C:\Windows\system32\Dwm.exe
      C:\Windows\Explorer.EXE
      C:\Program Files\DellTPad\Apoint.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
      C:\Program Files\Steam\Steam.exe
      C:\Program Files\Xfire\Xfire.exe
      C:\Program Files\DellTPad\ApMsgFwd.exe
      C:\Program Files\DellTPad\HidFind.exe
      C:\Program Files\DellTPad\Apntex.exe
      C:\Windows\system32\conhost.exe
      C:\Program Files\Mozilla Firefox\firefox.exe
      C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtblfs.exe
      C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
      C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

      R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = go.microsoft.com/fwlink/?LinkId=69157
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = go.microsoft.com/fwlink/?LinkId=54896
      R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = go.microsoft.com/fwlink/?LinkId=54896
      R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = go.microsoft.com/fwlink/?LinkId=69157
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
      R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
      R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
      O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
      O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ievkbd.dll
      O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
      O2 - BHO: link filter bho - {E33CF602-D945-461A-83F0-819F76A199F8} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
      O4 - HKLM\..\Run: [Apoint] C:\Program Files\DellTPad\Apoint.exe
      O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe"
      O4 - HKLM\..\Run: [NVHotkey] rundll32.exe C:\Windows\system32\nvHotkey.dll,Start
      O4 - HKCU\..\Run: [Steam] "c:\program files\steam\steam.exe" -silent
      O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOKALER DIENST')
      O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOKALER DIENST')
      O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETZWERKDIENST')
      O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETZWERKDIENST')
      O4 - Startup: Xfire.lnk = C:\Program Files\Xfire\Xfire.exe
      O8 - Extra context menu item: Hinzufügen zu Anti-Banner - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\ie_banner_deny.htm
      O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~1\OFFICE11\EXCEL.EXE/3000
      O9 - Extra button: &Virtuelle Tastatur - {4248FE82-7FCB-46AC-B270-339F08212110} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
      O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\OFFICE11\REFIEBAR.DLL
      O9 - Extra button: Li&nks untersuchen - {CCF151D8-D089-449F-A5A4-D9909053F20F} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\klwtbbho.dll
      O13 - Gopher Prefix:
      O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll
      O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 2010\avp.exe
      O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
      O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program Files\RWTH OpenVPN Client\bin\openvpnserv.exe
      O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
      O23 - Service: @C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpDefragService.exe
      O23 - Service: TuneUp Utilities Service (TuneUp.UtilitiesSvc) - TuneUp Software - C:\Program Files\TuneUp Utilities 2010\TuneUpUtilitiesService32.exe

      --
      End of file - 4873 bytes


      Kaspersky findet auch keine Malware mehr. Ist jetzt alles wieder gut? Ich weiß ich frag so blöd aber ich kenne mich damit nicht wirklich gut aus.
      sei epsilon kleiner null...

    • Ich würde an deiner Stelle neu installieren. Ein einmal kompromittiertes System ist nicht mehr vertrauenswürdig.

      (Online-Banking, andere Passwörter, Mails, usw.)
      Dell XPS M1330 CPU: T8300@2,4Ghz RAM: 4GB HDD: WD 500GB 7200PM Graka: 8400M-GS, Display: LED OS: Windows 7 Professional x64

    • Ja nur ich hab jetzt keinen Bock wieder alles neu zu installieren. Da hab ich alles erst vor ner Woche gemacht... aber da die ganzen Programme die ich hier habe alle nichts gefunden haben gehe ich mal davon aus das es wieder gut ist... es waren ja auch keine Viren sondern "nur" Malware, vor allem welche die sich als Trojaner ausgegeben hat. Ich kann doch nicht wegen jedem neuen Trojaner meinen PC neu aufsetzten... naja ich hoffe mal es bleibt jetzt so und das Teil ist weg. Danke für eure klasse Hilfe!
      sei epsilon kleiner null...

    • sag mal studierst du nicht schon?
      surfst du zufällig ohne anständige Firewall und Virenscanner im UNI-Netz?
      Wenn ich das mache, dann wär mein Computer in wenigen Minuten voll damit.
      Kollege wusste es besser. Der setzt lieber ständig das System neu auf! :D