Hallo,

ich habe win xp home und auch schon wieder ein riesen problem aus dem internet auf dem pc!

1. Hatte ich die Internetseite über den Destop "You are in danger..." die ich dank eurer Hilfe schon wegbekommen habe.

Mein zweites Problem bezieht sich auf gelockte Trojaner die ich nicht vom System bringe bzw. die mir zwar angezeigt werden wenn ich mit vierenprogrammen scanne aber ich sie zwecks ungenauer Fadangabe nicht finde. Auch nicht über suchen...

Meine Trojaner die ich nicht finden kann und die gelockt sind:

C/.../Fifoed/A0038857.exe
C/.../arrow1.bmp (diese Datei ist mit einem mir unbekannten Passwort belegt)

Meine Trojaner die ich zwar per suchen finde, sie aber nicht wegbekomme weil ich angeblich kein Recht dazu hätte bzw. Lizenz...

C/ProgrammFiles/Windows/TaskAd/WinTaskAd.exe
C/ProgrammFiles/Windows/TaskAd/WinTask.exe
" " WinSched.exe

Es sind sogenannte HideRun.A.7 und HideRun.A.6 Trojaner

Die diversen Datein konnte ich weder mit Programmen aus dem Internet löschen noch manuell. Was soll ich tun?


Schon mal danke für eure Hilfe

gutes nächtle

feanny

@feanny
löschen geht am besten in den abgesicherten modus
lasse deine dateien hier überprüfen und poste hier das ergebnis
lade dir dann HJT hier
poste damit ein logfile hier im board
HJT anleitung
schau mal nach
Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"
chaosman

Ha, an den abgesicherten Modus hatte ich gar nicht gedacht. Hab gestern Kaspersky mal im abges. Modus laufen lassen und nun sind die ganzen trojaner weg!!! einfach wie von luft aufgelöst!

Danke für deinen Tip.

Jetzt hab ich nur noch ein Problem, wenn ich meinen pc starte versucht er sich über eine andere Verbindung ins Internet einzuwählen. Er startet einfach das DÜF Fenster. Was kann ich da machen? Wenn ich ins Internet gehe über den Explorer dann kommt wieder die normale Verbindung.

Ps: Danke für deine schnelle Antwort.

lg

feanny

@feanny
Arbeitsplatz, netzwerkverbindungen, nachschauen welche eingerichtet sind.
der andere verbindung hier löschen
chaosman

war da grad drin. da steht nur meine ganz normale verbindung drin... keine andere...

@feanny
poste doch mal ein HJT logfile
download
http://www.hijackthis.de/
anleitung
http://www.trojaner-board.de/51130-a...ijackthis.html
chaosman

Hallo,


Ich habe bald keinen Bock mehr auf PC´s..Ich ziehe Trojaner zur zeit magisch an!

Also: hier mal ein Log denn ich habe auch diesen komischen Trojaner ..ich hab ihn durch ZUFALL gefunden.Hab einfach mal durch langeweile hier (http://virusscan.jotti.org/de) einzelne Dateien gescannt *lol* was ein zufall...

Wenn ich mit Anti vir scanne findet er dieses gottverdammte miststück nicht!( C:\PROGRAM FILES\WINDOWS TASKAD\WINSCHED.EXE)

Hier mein Hijacklog ( Das sieht so sauber aus..grmpf*...als info , SigX und ccb sind ok )


Danke im vorraus.......*seuftz*

Code: Alles auswählenAufklappen

ATTFilter

 Logfile of HijackThis v1.98.2
Scan saved at 14:02:54, on 28/11/2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Unable to get Internet Explorer version!

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\TGTSoft\StyleXP\StyleXPService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\slserv.exe
C:\Programme\Securepoint Personal Firewall\driver\spfirewallsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe
C:\Programme\CyberLink\PowerDVD\PowerDVD.exe
C:\Programme\Messenger Plus! 3\MsgPlus.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\SigXC\SigX.exe
C:\Programme\TGTSoft\StyleXP\StyleXP.exe
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\Explorer.EXE
C:\Dokumente und Einstellungen\Sandra Jakob\Eigene Dateien\dlx ccb\ChatCityButler.exe
C:\Programme\Winamp\winamp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\MSN Messenger\msnmsgr.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.runrig.co.uk/index.htm
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Alba gu bràth!
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\apps\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Idea2 SidebarBrowserMonitor Class - {45AD732C-2CE2-4666-B366-B2214AD57A49} - C:\Programme\Desktop Sidebar\sbhelp.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet
O4 - HKLM\..\Run: [HorngTech4D] C:\PROGRA~1\MOUSES~1\bally4d.exe
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb10.exe
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [TweakPower] C:\Programme\TweakPower\TweakPower.exe -100-
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [Securepoint Personal Firewall] "C:\Programme\Securepoint Personal Firewall\bin\sppfw.exe"
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PowerDVD] C:\Programme\CyberLink\PowerDVD\PowerDVD.exe /autostart
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [SigXC] C:\Programme\SigXC\SigX.exe
O4 - HKCU\..\Run: [STYLEXP] C:\Programme\TGTSoft\StyleXP\StyleXP.exe -Hide
O4 - HKCU\..\Run: [Update Service] "C:\Programme\Gemeinsame Dateien\Teknum Systems\update.exe" /startup
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O8 - Extra context menu item: Subscribe in Desktop Sidebar - res://C:\Programme\Desktop Sidebar\sbhelp.dll/menuhandler.html
O9 - Extra button: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra 'Tools' menuitem: Subscribe in Desktop Sidebar - {09FE188B-6E85-479e-9411-51FB2220DF80} - C:\Programme\Desktop Sidebar\sbhelp.dll
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {2FC9A21E-2069-4E47-8235-36318989DB13} (PPSDKActiveXScanner.MainScreen) - http://www.pestscan.com/scanner/axscanner.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {80DD2229-B8E4-4C77-B72F-F22972D723EA} (AvxScanOnline Control) - http://www.bitdefender.de/scan/Msie/bitdefender.cab
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f012.mail.lycos.co.uk/app/upl...leUploader.cab
O16 - DPF: {CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA} (Java Runtime Environment 1.4.1_01) - 
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{3485E7A8-3661-48BC-875D-9DBE953C8D68}: NameServer = 192.168.1.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{DA8457BA-3FF1-47C8-8380-755C0E17A872}: NameServer = 192.168.0.1
O17 - HKLM\System\CCS\Services\Tcpip\..\{F63CF962-58BA-423F-BFAF-2C4D3A1BD695}: NameServer = 192.168.0.1
O18 - Protocol: cetihpz - {CF184AD3-CDCB-4168-A3F7-8E447D129300} - C:\Programme\HP\hpcoretech\comp\hpuiprot.dll
         

Hab eben bei housecall gescannt..das miststück ist weg...!*rolleyes*

Hallo Ihr Beiden feanny und DoS,

mit Euren Angaben kann ich leider wenig anfangen. Es wäre nett, wenn Ihr uns die Namen der auf Euren Systemen festgestellten und gelöschten Trojaner mitteilen könntet. Bei KAV gibt es - soweit ich weiss - einen Report und Housecall hat sicher einen Namen genannt.

Das Löschen gefährlicher Viren macht Systeme nicht unbedingt sicher. Hierzu bitte lesen und verstehen: Entfernung von Schädlingen und Kompromittierung unvermeidbar?

SD

was soll ich denn da noch dazu schreiben? mehr steht bei meinen trojanern nicht dabei... lg feanny

@ feanny,

erstelle bitte ein Hijack This Logfile mit http://www.trojaner-board.de/51130-a...ijackthis.html und poste es.

@ DoS

wie hieß der Trojaner, der auf Deinem System gelöscht worden ist?

SD