Hallo zusammen!

Ich habe heute mit e-scan einige Plagegeister gefunden. Leider ist auch ein Trojaner darunter, von dem ich nie gehört hab und keinen Plan habe, wie ich den entfernen kann...

"trojan-downloader.java.openstrem.t"
er hat wohl einen ordner in meinen dokumenten und einstellungen/jpi_cache
infiziert...


kann mir vielleicht jemand helfen? *bettel*
...und vielleicht "einfach" erklären, so in DAU-Sprache?

Danke im Voraus!
schaezle

Leere mal deinen Cache.

hm...ja...wie geht das nochmal mit dem cache leeren? *dummbin*

und was mir auch gleich nich einfällt: bei dem scan wurde noch der wurm
"i-worm-sober.i" gefunden. ich habe zwar ein tool zum entfernen runtergeladen
(von hier http://de.bitdefender.com/html/virus...id=1&v_id=278#), aber das zeigt mir an, ich hätte gar keinen sober :-(

danke im viraus für eure hilfe
schaezle

Poste mal den genauen Pfad zu den besagten Funden.

Hallo!
Habe die infizierte Datei gelöscht und damit wars dann gut. So hoffe ich zumindest :-)

Aber nun hab ich ein noch größeres Problem *glaub*
Ich habe eine .exe, die ich nicht löschen kann...
Hat hier vielleicht jemand Erfahrung? Es kommt immer, dass sie nicht zu löschen ist, weil sie angeblich benutzt wird, oder Programme laufen, die sie benötigen würde. Das kann ich aber nicht bestätigen. Ich vermute, dass die Datei irgendwo im System32 läuft, hab aber keine Ahnung, was sie da soll....*gmbl*

Mennö, jetzt lief alles so gut und dann sowas...
Danke für Hilfe :-)

@schaezle
gebe bitte den pfad an, welche datei kannst nicht lösche?
poste doch mal ein Hijackthislogfile hier im board
http://www.hijackthis.de/
chaosman

pfad für die .exe

C:\Dokumente und Einstellungen\*meinname*\Eigene Dateien\emule\Incoming\2 Kaspersky Antivirus Crack All Versions.exe

...ja...ich weiß...filesharing und so :-(
okay, ich versuch das mal mit dem lolfile...mom

@schaezle
hast du es schon mal in den abgesicherten modus versucht?
http://www.trojaner-board.de/63335-w...s-starten.html
abgesicherten modus, dann manuell löschen
neu starten

anders versuche es mal mit
AmokDelay


chaosman

Logfile of HijackThis v1.98.2
Scan saved at 23:33:59, on 03.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\System32\Ati2evxx.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4ss.exe
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\soundman.exe
C:\WINDOWS\mHotkey.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe
C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe
C:\Programme\Winamp\Winamp.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Programme\Trillian\trillian.exe
C:\Programme\WinRAR\WinRAR.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\SILKEM~1.SCH\LOKALE~1\Temp\Rar$EX01.451\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: DgnWebIE - {2843DAC1-05EF-11D2-95BA-0060083493D6} - C:\Programme\Dragon Systems\NaturallySpeaking\Program\web_ie.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SoundMan] soundman.exe
O4 - HKLM\..\Run: [CHotkey] mHotkey.exe
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Browser Mouse\Browser Mouse\1.0\mouse32a.exe
O4 - HKLM\..\Run: [KAV50] "C:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: Watch.lnk = C:\WINDOWS\twain_32\CIS600X\WATCH.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/S...in/AvSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {CE28D5D2-60CF-4C7D-9FE8-0F47A3308078} (ActiveDataInfo Class) - http://www.symantec.com/techsupp/act...a/SymAData.cab
O16 - DPF: {E77C0D62-882A-456F-AD8F-7C6C9569B8C7} (ActiveDataObj Class) - http://www.symantec.com/techsupp/act...ActiveData.cab

@chaosman

leider sagt mir das logfile nichts, wie schon erwähnt, ich bin eher eine DAU :-(
komisch find ich, dass symantec da noch rumdümpelt, das hab ich heute alles gelöscht.
wollte ja kaspersky...was nun nicht läuft. Doof.

Ja, ich hab versucht es im abgesicherten Modus zu löschen, das ging genauso wenig. Ich hab auch im Registrierungseditor geschaut, ob es dort im "run" drin ist.
Ein E-Scan durchlauf brachte keinen Hinweis auf einen neun Plagegeist, aber ich traue der Ruhe nicht...

schaezle

Du hast dir auch nicht Kaspersky runtergeladen, sondern einen Trojaner.

Selbst schuld ... Software lädt man nur von seriösen Anbietern herunter.

Als Schüler, Student, Lehrer bekommst du bei Kaspersky Lab sogar noch Rabatt ...

Also, kauf dir Kaspersky.


Und nun scanne mal mit eScan im abg. Modus: http://www.trojaner-board.de/42731-escan-anleitung.html

Wo wird was gefunden?

hallo christian!

die datei konne ich mit dem Programm Amok DelayDel erfolgreich löschen.
ich vermute aber, dass ich mir mapson.a damit eingefangen hab.

trotzdem ist mein e-scan ergebnis clean *freu*
denkst du, dass ich trotzdem infiziert bin?

gruß
schaezle

Könnte sein.