Hallo
Ich war so idiotisch und habe eine angebliche Ebay- email geoffnet und seitdem den Trojaner auf meinem Pc. Mc affee erkennt ihn unter spy-agent.ak und löscht ihn auch, das bringt aber nix, weil er nach einer halben stunde wieder drauf ist bzw. nich richtig gelöscht wird.
Im system 32 ordner wird dann auch noch einer erkannt und gelöscht,der auch immer wiederkommt.
Außerdem geht Mozilla firefox nichtmehr weil eine Datei "js3250.dll" nicht gefunden werden konnte.

Könnt ihr mir helfen? Wie kann ich den Trojaner loswerden?
Vielen vielen Dank

Halli hallo. Das Problem ist nicht unbekannt. Nutze doch mal unsere SuperSuchFunktion SSF (ebay mail) --> erster Eintrag, und tauscht euch mal aus.
Eine Mail an Ebay waere sicher auch nicht verkehrt!

Nun, erstelle doch bitte ein HijackThis logFile und poste es hier.

Bis bald

Undoreal

Uiuiui.

Hab grade mehr Infos gefunden die beunruhigend sind.
Hier findest du eine Beschreibung des Trojaners.
Besonders dieses hier sollte einem Sorgen machen :

Zitat:

Hintertür Kontaktiert Server:
Den folgenden:
• editier
Dies geschieht mittels der HTTP POST Methode unter Verwendung eines PHP Scripts.
Sende Informationen über:
• Computername
• Erstellte Protokolldatei
• IP Adresse
• Aktueller Malware Status
• Aus dem Diebstahl-Bereich gesammelte Informationen
• Information über das Windows Betriebsystem

Diebstahl:
Es wird versucht folgende Information zu klauen:
– In 'Passwort Eingabefelder' eingetippte Passwörter
– Aufgezeichnete Passwörter welche von der AutoComplete Funktion verwendet werden
– Aus folgendem Registry Key gelesene Email Kontoinformation: HKCU\Software\Microsoft\Internet Account Manager\Accounts
– Nachdem folgende Webseite besucht wurde wird eine Protokollfunktion gestartet:
• %jede Webseite mit Login-Formular%

– Aufgezeichnet wird:
• Fensterinformation
• Anmeldeinformation

Poste also bitte dein logFile aber du solltest meiner Meinung nach mit diesem Rechner bis auf weiteres nicht ans Netz! Der umgeht auch deine Firewall.
Ziehe das LAN-Kabel ! und speichere das log. Benutze dann einen anderen Rechner um hier zu posten.
Wenn er wirklich aktiv ist musst du Neuaufsetzten..

Gruesse

Undoreal

Hier diesses Highjackthislog (hoff ist richtig, habs zum ersten mal gemacht)

Logfile of HijackThis v1.99.1
Scan saved at 13:39:59, on 22.02.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
c:\PROGRA~1\mcafee.com\vso\mcshield.exe
C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe
C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe
C:\PROGRA~1\mcafee.com\agent\mcagent.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
c:\progra~1\mcafee.com\vso\mcvsescn.exe
C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe
C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\RunDll32.exe
C:\Denis Dateien\Power DVD\PDVDServ.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\iasx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\wscntfy.exe
c:\progra~1\mcafee.com\vso\mcvsftsn.exe
C:\WINDOWS\System32\slbipsch.exe
C:\Programme\Java\jre1.5.0_06\bin\jucheck.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Denis Dateien\programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - C:\WINDOWS\system32\ipv6monl.dll
O2 - BHO: URLLink - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Programme\NewDotNet\newdotnet7_48.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: metaspinner GmbH - {84B94901-3645-4D80-A6B7-4D0050B19455} - C:\DENISD~1\Stern\PREISP~1\PREISP~1\IEBUTT~3.DLL (file missing)
O2 - BHO: ADefaultSearch Class - {944864A5-3916-46E2-96A9-A2E84F3F1208} - C:\Programme\Accoona\ASearchAssist.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: metaspinner GmbH - {CD9B7762-DFBC-42B1-BB30-02A78287B456} - C:\DENISD~1\Stern\PREISP~1\PREISP~1\IEBUTT~2.DLL (file missing)
O2 - BHO: metaspinner GmbH - {E9E027BF-C3F3-4022-8F6B-8F6D39A59684} - C:\DENISD~1\Stern\PREISP~1\PREISP~1\IEBUTT~1.DLL (file missing)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O3 - Toolbar: &Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O4 - HKLM\..\Run: [McRegWiz] C:\PROGRA~1\McAfee.com\Agent\mcregwiz.exe /autorun
O4 - HKLM\..\Run: [VSOCheckTask] "c:\PROGRA~1\mcafee.com\vso\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [VirusScan Online] "c:\PROGRA~1\mcafee.com\vso\mcvsshld.exe"
O4 - HKLM\..\Run: [MCAgentExe] c:\PROGRA~1\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] C:\PROGRA~1\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MPFExe] C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [Acronis*True*Image Monitor] "C:\Programme\Acronis\TrueImage\TrueImageMonitor.exe"
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [RemoteControl] "C:\Denis Dateien\Power DVD\PDVDServ.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Programme\Gemeinsame Dateien\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WorksFUD] C:\Programme\Microsoft Works\wkfud.exe
O4 - HKLM\..\Run: [Microsoft Works Portfolio] C:\Programme\Microsoft Works\WksSb.exe /AllUsers
O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Programme\Microsoft Works\WkDetect.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\system32\brwconf.exe
O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRA~1\NEWDOT~1\NEWDOT~2.DLL,ClientStartup -s
O4 - HKLM\..\Run: [iasx] iasx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O8 - Extra context menu item: &Preispiratensuche nach markiertem Text - C:\\Denis Dateien\\Stern\\Preispiraten\\Preispiraten3\\preispiraten.html
O8 - Extra context menu item: amazon Suche - C:\Denis Dateien\Stern\Preispiraten\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: amazon Suche starten - C:\Denis Dateien\Stern\Preispiraten\Preispiraten3\Searchamazon.htm
O8 - Extra context menu item: eBay - Mein eBay - C:\Denis Dateien\Stern\Preispiraten\Preispiraten3\SearchEbaymein.htm
O8 - Extra context menu item: eBay - Powersuche - C:\Denis Dateien\Stern\Preispiraten\Preispiraten3\SearchEbaypower.htm
O8 - Extra context menu item: eBay - Startseite - C:\Denis Dateien\Stern\Preispiraten\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: eBay Suche starten - C:\Denis Dateien\Stern\Preispiraten\Preispiraten3\SearchEbay.htm
O8 - Extra context menu item: Google Suche - C:\Denis Dateien\Stern\Preispiraten\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Google Suche starten - C:\Denis Dateien\Stern\Preispiraten\Preispiraten3\SearchGoogle.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Preispiraten 3 - {350F4DA2-3886-4BB8-A1A8-D7F57B56DFFF} - C:\Denis Dateien\Stern\Preispiraten\Preispiraten3\preispiraten3ie.exe (file missing)
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programme\Gemeinsame Dateien\Acronis\Schedule2\schedul2.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: McAfee.com McShield (McShield) - Unknown owner - c:\PROGRA~1\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\PROGRA~1\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee.com VirusScan Online Realtime Engine (MCVSRte) - Networks Associates Technology, Inc - c:\PROGRA~1\mcafee.com\vso\mcvsrte.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe
O23 - Service: NBService - Nero AG - C:\Programme\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

Sag mal, du hast du True Image auf deinem Rechner. Hast du wenigstens mal ein image deiner Systempartition gemacht? Dann kannst du doch relativ schnell dein System neu aufsetzen bzw. dabei den Trojaner niederbügeln!

hab ich gluab mal gemacht, war aber schon lang her. Würde eigentlich lieber den trojaner entfernenn ohne irgendwas neuzuinstellieren. Meint ihr des geht irgendwie? Was sagt ihr denn nun zum hickjackthislog?

Jo, du musst auf jeden Fall neuaufsetzen!

Viel Erfolg

Undoreal

C:\WINDOWS\System32\slbipsch.exe
O4 - HKLM\..\Run: [brwdiag] C:\WINDOWS\system32\brwconf.exe
O20 - AppInit_DLLs: vb5dmspo.dll e1.dll confbrw.dll brwstat.dll
O20 - Winlogon Notify: brwmgr - C:\WINDOWS\SYSTEM32\brwmgr32.dll
O20 - Winlogon Notify: slbipsch - C:\WINDOWS\system32\slbipsch.dll

Alles verseucht!

Ein Virus der sich über ICQ verbreitet.

ist das dann so ein backdoor trojaner?

kann ich vor dem Neuaufsetzen noch ein paardateien sichern oder sind alle verseucht? würde gern noch paar persönliche worddokumente sichern...?

Kannst du schon. Keine pdf exe oder sonst welche Dateien. Und lassealle scannen bevor du sie wieder auf spielst...

Zitat:

Zitat von denito

kann ich vor dem Neuaufsetzen noch ein paardateien sichern oder sind alle verseucht? würde gern noch paar persönliche worddokumente sichern...?

Die müssten eigentlich clean sein!

Keine ausführbaren Dateien sichern!

Ansonsten, haue dein image drüber und du kannst besser schlafen!

Danke euch!!!!!!!!!!!!!!!