![]() |
|
Plagegeister aller Art und deren Bekämpfung: Hilfe bei nicht löschbarem TrojanerWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
![]() |
|
![]() | #1 |
![]() | ![]() Hilfe bei nicht löschbarem Trojaner Hallo Leute, habe es schon vorgestern gepostet, leider ohne Antwort, deshalb nochmal in diesem Bereich, da ich wirklich eure Hilfe brauche. Ich habe seit vorgestern echt ein Problem. Eigentlich dachte ich, mein PC wäre recht sicher (auch wenn ich IE nutze, weil nur da alle Typo3-Funktionen zur Verfügung stehen), aber jetzt habe ich mir zum ersten Mal was eingefangen, was auch gleich richtig nervt. Mit Ad-Aware, Spybot und HijackThis kann man zwar das Problem lokalisieren, aber nicht wirklich beseitigen. Ich hoffe nicht, dass mir so eine Prozedur, wie in den anderen Threads bevorsteht, aber hier mal mein HijackThis.log: Logfile of HijackThis v1.98.2 Scan saved at 22:40:20, on 28.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Atguard\iamserv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe D:\Network Associates\VirusScan\Mcshield.exe D:\Network Associates\VirusScan\VsTskMgr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\PROGRA~1\Atguard\iamapp.exe C:\WINNT\System32\rmctrl.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe D:\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\WinTV\Ir.exe C:\WINNT\system32\rundll32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE D:\Tools\HijackThis.exe O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html O15 - Trusted Zone: *.Radio@ne O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/d...n/GoogleNav.cab Bin über jegliche Hilfe echt dankbar. Balko |
![]() | #2 |
![]() ![]() ![]() | ![]() Hilfe bei nicht löschbarem Trojaner Hi, balko,
__________________bitte im abgesicherten Modus folgendes mit HJT fixen: O1 - Hosts: 69.20.16.183 ieautosearch O1 - Hosts: 69.20.16.183 auto.search.msn.com O1 - Hosts: 69.20.16.183 search.netscape.com O1 - Hosts: 69.20.16.183 ieautosearch Ist das Absicht: O15 - Trusted Zone: *.Radio@ne wenn nicht, dann auch fixen. Anschließend neues Logfile reinposten. Mich würde noch interessieren, was spybot und Co. so lakalisiert haben.
__________________ |
![]() | #3 |
![]() | ![]() Hilfe bei nicht löschbarem Trojaner hallo cacatoa,
__________________danke für deine schnelle hilfe. hatte vorher schonmal im abgesicherten modus versucht mit hjt zu fixen, war aber hinterher im normalmodus wieder da. jetzt scheint es geklappt zu haben (habe auch O15 gefixt). Spybot findet noch DSO Exploit (obwohl ich den im abgesicherten Modus gefixt hatte), scheint sich nicht dauerhaft entfernen zu lassen, weil er nach jedem Scan wieder da ist. Hier der HJT.log: Logfile of HijackThis v1.98.2 Scan saved at 19:58:50, on 30.11.2004 Platform: Windows 2000 SP4 (WinNT 5.00.2195) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\System32\svchost.exe C:\Programme\Atguard\iamserv.exe C:\Programme\Network Associates\Common Framework\FrameworkService.exe D:\Network Associates\VirusScan\Mcshield.exe D:\Network Associates\VirusScan\VsTskMgr.exe C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe C:\WINNT\system32\stisvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\rundll32.exe C:\WINNT\Explorer.EXE C:\WINNT\system32\devldr32.exe C:\PROGRA~1\Atguard\iamapp.exe C:\WINNT\System32\rmctrl.exe C:\Programme\Microsoft Hardware\Mouse\point32.exe D:\Network Associates\VirusScan\SHSTAT.EXE C:\Programme\Network Associates\Common Framework\UpdaterUI.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe C:\Programme\FreePDF\FreePDFA.exe C:\Programme\WinTV\Ir.exe D:\Tools\HijackThis.exe O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\winnt\downloaded program files\googletoolbar1.dll O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize O4 - HKLM\..\Run: [iamapp] C:\PROGRA~1\Atguard\iamapp.exe O4 - HKLM\..\Run: [RemoteControl] C:\WINNT\System32\rmctrl.exe O4 - HKLM\..\Run: [POINTER] point32.exe O4 - HKLM\..\Run: [ShStatEXE] "D:\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Programme\Network Associates\Common Framework\UpdaterUI.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [FreePDFAssistent] C:\Programme\FreePDF\FreePDFA.exe O4 - Global Startup: AutoStart IR.lnk = C:\Programme\WinTV\Ir.exe O8 - Extra context menu item: &Google Search - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html O16 - DPF: {6CB5E471-C305-11D3-99A8-000086395495} - http://toolbar.google.com/data/de/de.../GoogleNav.cab Noch eine Frage: Wie ist dieses Zeug auf meinen PC gelangt bzw. noch wichtiger - wie kann ich das in Zukunft verhindern? MfG, Balko |
![]() | #4 |
![]() ![]() ![]() | ![]() Hilfe bei nicht löschbarem Trojaner Hallo, Balko, den IE kannst du updaten, gibt ein neues. DSO-Exploit ist Standard-Fehlermeldung bei Spybot; soll mit der nächsten Version behoben sein. Ist also ohne Funktion, kannst löschen oder auch nicht, kommt wieder. Dein Log ist schön sauber. Wenn Du die folgenden nicht brauchst/kennst, kannst du sie auch noch fixen: O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\winnt\downloaded program files\GoogleToolbar1.dll/cmsimilar.html. Eigentlich sollten Deine Probs jetzt weg sein, oder? cacatoa
__________________ Der Mensch sollte eine Hundeseele haben |
![]() | #6 |
![]() | ![]() Hilfe bei nicht löschbarem Trojaner coooool, dann war's ja doch nicht so kompliziert :-) sollte ich mir noch irgendwas an software installieren (außer IE-update)? vielen dank nochmal |
![]() |
Themen zu Hilfe bei nicht löschbarem Trojaner |
ad-aware, autostart, cache, dateien, dll, explorer, google, guard, hijack, hijackthis, hilfe, internet, internet explorer, microsoft, programme, rundll, seite, spybot, system, system32, tools, trojane, trojaner, virusscan, windows, zone |