Hallo zusammen,

ich bin neu hier und hoffe auf Hilfe.
Avast hat mir einen Trojaner gemeldet, der wohl neu ist.
Name: Win32: PoeBot-BH
Dazu kommt, dass ich seit einiger Zeit immer popups auf dem Bildschirm habe, die mich auffordern, einen regcleaner von der Seite www.key32.com herunterzuladen. Wenn ich das wegklicke, kommt sofort der nächst popup mit der Aufforderung die Seite www.msreg.com aufzurufen.

Also irgendetwas stimmt bei mir auf dem Rechner nicht, was kann ich tun?

Ich bedanke mich für jede Hilfe schon im voraus.

Zitat:

Zitat von OlliML

Avast hat mir einen Trojaner gemeldet, der wohl neu ist.
Name: Win32: PoeBot-BH

In welche(r/n) Datei(en) meint Avast den Schädling lokalisiert zu haben?

Zitat:

Also irgendetwas stimmt bei mir auf dem Rechner nicht, was kann ich tun?

1. Poste ein HJT-log (nach Anleitung aus unserer FAQ-Sektion)
2. Suche schon mal Deine Windows-CD

Gruß

Marc

Hallo MightyMarc,

danke für die schnelle Antwort.

zu 1. Avast hat die Datei unter ...system32\iexplore.exe gefunden. Seit ich diesen Trojaner habe, funktioniert Avast auch nicht mehr richtig. Ich kann z.B. den Trojaber nicht in die Quarantäne verschieben, weill eine Datenbank von Avast nicht mehr funktioniert.
zu 2. Ich habe eine HJT- Datei erstellt, weiß abernicht, wie ich sie posten muss.

Gruß

Olli

Zitat:

Zitat von OlliML

zu 1. Avast hat die Datei unter ...system32\iexplore.exe gefunden.

Nicht gut. Lade diese Datei bei Virustotal.com hoch, lasse sie prüfen und poste den vollständigen Scanreport samt Größen- und Hashangabe.

Zitat:

zu 2. Ich habe eine HJT- Datei erstellt, weiß abernicht, wie ich sie posten muss.

Markiere den Inhalt der geöffneten Datei hijackthis.log mit STRG + A, kopiere ihn mit STRG + C und füge ihn hier mit STRG + V in eine Antwort von Dir ein.

Gruß

Marc

P.S.: Du solltest Dich aber schon mal langsam in diese Themantik einlesen.

allo Marc,

hier kommt der zweite Teil:

Logfile of HijackThis v1.99.1
Scan saved at 13:29:05, on 05.05.2007
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v5.00 SP4 (5.00.2920.0000)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\spoolsv.exe
C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
C:\Programme\Alwil Software\Avast4\ashServ.exe
C:\WINNT\system32\svchost.exe
C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
C:\WINNT\system32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\system32\stisvc.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\Explorer.EXE
C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe
C:\Programme\Logitech\iTouch\iTouch.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\gtwatch.exe
C:\WINNT\system32\RUNDLL32.EXE
C:\PROGRA~1\MICROS~4\wcescomm.exe
C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\PROGRA~1\MICROS~4\rapimgr.exe
C:\Programme\Alwil Software\Avast4\ashWebSv.exe
C:\Programme\Alwil Software\Avast4\ashMaiSv.exe
C:\Programme\iPod\bin\iPodService.exe
C:\Programme\FRITZ!\FriFax32.exe
C:\Programme\FRITZ!\FriFon32.exe
C:\Programme\Logitech\SetPoint\SetPoint.exe
C:\Programme\Gemeinsame Dateien\Logitech\KhalShared\KHALMNPR.EXE
C:\Programme\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.bild.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.msn.de/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R3 - Default URLSearchHook is missing
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {0E121D01-30D7-33C6-21D1-7884B4D53C36} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [NeroCheck] C:\WINNT\system32\NeroCheck.exe
O4 - HKLM\..\Run: [LWBMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\lwbwheel.exe
O4 - HKLM\..\Run: [Norton Ghost 9.0] C:\Programme\Symantec\Norton Ghost\Agent\GhostTray.exe
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Programme\Adobe\Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [zBrowser Launcher] C:\Programme\Logitech\iTouch\iTouch.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programme\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [Gtwatch] C:\WINNT\gtwatch.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKCU\..\Run: [H/PC Connection Agent] "C:\PROGRA~1\MICROS~4\wcescomm.exe"
O4 - HKCU\..\Run: [swg] C:\Programme\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7
O4 - Global Startup: Adobe Acrobat - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Acrobat\acrobat_sl.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FRITZ!fax.lnk = C:\Programme\FRITZ!\FriFax32.exe
O4 - Global Startup: FRITZ!fon.lnk = C:\Programme\FRITZ!\FriFon32.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: Ausgewählte Verknüpfungen in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Ausgewählte Verknüpfungen in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Auswahl in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Auswahl in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: In Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: In vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Verknüpfungsziel in Adobe PDF konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Verknüpfungsziel in vorhandene PDF-Datei konvertieren - res://C:\Programme\Adobe\Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra 'Tools' menuitem: Mobilen Favoriten erstellen... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\PROGRA~1\MICROS~4\INetRepl.dll
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {26CBF141-7D0F-46E1-AA06-718958B6E4D2} - http://download.ebay.com/turbo_lister/DE/install.cab
O16 - DPF: {271A3CF5-5A54-447B-A08F-BE805F0DA60B} (DataDesign DDBAC Plug-In) - https://www.olb.de/olb_fb3_1806/plugin/AXFOAM.CAB
O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - http://tools.ebayimg.com/eps/wl/activex/EPUWALControl_v1-0-3-12.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} - http://software-dl.real.com/154a70c93a8df736f005/netzip/RdxIE601_de.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1122983188203
O16 - DPF: {E7DBFB6C-113A-47CF-B278-F5C6AF4DE1BD} - http://download.abacast.com/download/files/abasetup152.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0224C894-2363-4155-90DB-2CA7A4B76A47}: NameServer = 212.95.97.144 212.95.97.111
O17 - HKLM\System\CCS\Services\Tcpip\..\{6B01F15C-CE8F-4B07-9EDA-AB0082A93A23}: NameServer = 192.168.1.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{0224C894-2363-4155-90DB-2CA7A4B76A47}: NameServer = 212.95.97.144 212.95.97.111
O20 - Winlogon Notify: ActiveSync - C:\WINNT\SYSTEM32\WcesWlgn.dll
O20 - Winlogon Notify: PCANotify - C:\WINNT\SYSTEM32\PCANotify.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programme\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programme\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Programme\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: pcAnywhere Host Service (awhost32) - Symantec Corporation - C:\Programme\Symantec\pcAnywhere\awhost32.exe
O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Norton Ghost - Symantec Corporation - C:\Programme\Symantec\Norton Ghost\Agent\PQV2iSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

Den ersten Teil Deiner Antwort habe ich nicht verstaden. Kannst Du mir das noch mal erklären.

Olli

Zitat:

Zitat von OlliML

Den ersten Teil Deiner Antwort habe ich nicht verstaden. Kannst Du mir das noch mal erklären.

Gehe auf VIRUSTOTAL - Free Online Virus and Malware Scan. Klicke oben auf den "Browse-Button". Navigiere zur Datei C:\Windows\system32\iexplore.exe
Markiere sie und klicke auf Öffnen. Starte den Upload mit Klick auf den Button "Send". Warte bis der Scan fertig ist. Markiere den erscheinenden Text (Liste mit Meldungen unterschiedlicher Virenscanner sowie ein zwei Zeilen mit dem Wort Hash/MD5/SHA). Kopiere das ganze (STRG + C) und füge es hier in eine Antwiort mit STRG + V ein.

Gruß

Mac

Hallo Marc,

hatte leider wenig Zeit. Ich habe leider ein Problem mit Deinem Tip. Wenn ich auf die Seite Virus-total gehe, finde ich nirgends einen Browse-Button.
Was muss ich Tun?

Gruß

Olli

Hi,
hab dir die Seite mal angehängt und in Rot eingekreist, was Mighty meinte. Wenn du auf den Knopf "Durchsuchen"(muss bei dir nicht unbedingt so heißen) drückst, solltest du deine Datei auswählen können.

EDIT: www.virustotal.com, nicht w*w.virus-total.com. Nicht dass das deine Probleme daher kommen.

lg myrtille

Hallo Myrtille,

vielen Dank für Deine Info. Wenn ich die Seite von Virus-Total aufrufe, ist ein Balken vor die Suchfunktionen vorgeschaltet. Ich kann da nirgends draufgehen.

Wenn Du mir verrätst, wie man die Bildschirmansicht an eine solche Antwort anhängen kann, könnte ich Dir zeigen, wie die Seite bei mir aussieht. Vielleicht weißt Du ja Rat.

Gruß

Olli

Ich hab einfach nen Screenshot gemacht, die Datei in MSPaint, auf 70 kb (Größenbeschränkung) runtergetrimmt und dann als Anhang hier eingefügt.

Die Option "Anhang" findest du unter dem Feld zum Beitrag schreiben bei "zusätzliche Einstellungen"

Was für ne Leiste blockiert dir denn die Sicht? Womit bist du im Internet unterwegs?

lg myrtille

Hallo Myrtille,

ich habe den Screenshot jetzt einmal versucht, mal sehen, ob das klappt.
Klappt nicht. Ich soll eine url zum Ahängen der Dtei angeben. Na welche denn?
Ich benutze den ganz normalen Internet Explorer.

Gruß

Olli

Auf welcher Sicherheitsstufe hast du den denn stehen? Eigentlich sollte es da keine Probleme geben, habe es eben selbst mal probiert, keine Leisten, nichts.

Was das anhängen angeht:

Du hast 2 Möglichkeiten Anhänge zu verwalten, siehe Anhang, die obere zum Hochladen, die andere zum verlinken.

Erst auf "Durchsuchen" klicken und nach dem auswählen der Datei auf Hochladen.

lg myrtille

Hallo Myrtille,

dieses Fenster, das Du gezeigt hast beim ir garnicht auf.

Olli

Dann probieren wirs anders:

1)Welche Sicherheitseinstellungen hast du eingestellt?
2a) Hast du einen Popupblocker,
2b)welche Einstellungen gibt es bei denen?
3)Was steht auf dem Balken, der auf der virustotalseite erscheint?
4)Hast du nen anderen Browser mit dem die Seite aufrufen kannst?

5)Alternativ lad die Datei bei jotti hoch, falls da nicht dieselben Probleme auftreten.

6)Was passiert denn wenn du auf den Knopf drückst, den ich dir im Anhang eingekreist habe? Da sollte das Bild ausm letzten Post aufpoppen.

lg myrtille

Vielen Dank für Deine Geduld.
Noch eine kleine Ergänzung:

Zu 1.) Wenn Du Sicherheit für Internet meinst, ist sie auf Mittel eingestellt.
zu 2a) Kann sein, weiß ich aber nicht, denn seit ich diesen Trojaner habe, ist die Google- Toolbar weg.
Zu 2b) s.o.
Zu3.) Auf dem Balken steht nichts. Der liegt lediglich über den Editiermöglichkeiten und blockiert diese, s.d. man sie nicht betätigen kann.
Zu 4.) Nicht das ich wüßte.
Zu 5.) Versuche ich gleich mal. Jotti geht nicht, weil ich angeblich irgendetwas mit Java deaktiviert habe, ich weiß aber nicht was.
Zu 6.) Wenn ich darauf klicke, pssiert gar nichts

Gruß

Olli