Hallo allseits!
bin neu hier.
hab folgendes Problem.
hab einen Trojaner auf PC geholt (kurz davor aktualliesierter McAffe 8.0 hat nichts erkannt), der sich dann irgendwo in registry eingetragen hat. Den Trojaner selbst hab ich dann manuell entfernt, aber seitdem kann ich keine .exe-Dateien mehr starten.
Dummerweise hab ich den Namen von Dem nicht gemerkt. Dachte geht wie immer - löschen und für immer vergessen.
Hab schon bei Registry paar einträge korregiert:

HKEY_CLASSES_ROOT\exefile\shell\open\command
"%1" %*
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\exefile\shell\open\command
"%1" %*

hat nichts gebracht :-(
hab winXP. google hilft auch nicht.
kann jemand helfen?

danke im Voraus.
gruss.

Hallo,

lade Dir HijackThis herunter. Benenne die Datei HijackThis.exe um in beispielsweise pruefung.com und versuche sie mit einem Doppelklick zu starten. Wenn das erfolgreich war, poste bitte die LogDatei.

Hi Lutz,
danke für die Antwort.
hab das programm am Board. habe allerdings nichts besonderes feststellen können.
heute abend werde ich die Ergebnisse hier ausstellen (bin jetzt auf der Arbeit).

Danke.

Logfile of HijackThis v1.98.2
Scan saved at 15:16:39, on 09.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\HijackThis\Antihack.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

Das log sieht unvollständig aus, ist das wirklich alles, was drinsteht?

Das hier wäre sicher zu fixen:

O2 - BHO: Search Relevancy - {1D7E3B41-23CE-469B-BE1B-A64B877923E1} - C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL

Ganz wichtig ist aber zunächst:

Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Dein System ist völlig ungepatched, du musst SCHNELLSTENS windowsupdates besuchen und zwar solange, bis da keine empfohlenen Updates mehr angegeben werden, am besten gleich Service Pack 2 installieren (falls das im momentanen Zustand geht). Kannst du exe-dateien im abgesicherten Modus ausführen:

http://www.trojaner-board.de/63335-w...s-starten.html

hi,
die Hijack-Logdatei ist eigentlich vollständig. Ich hab da noch früher was gefixt, aber es gab danach kein problem.

im abgesicherten Modus geht dasgleiche (bzw. geht nichts).

Übrigens, ich hab in Regedit die Einträge wie "WinAdServ.exe" und "WinAdServX.Installer" gefunden. Das ist wahrscheinlich die Ursache für den ganzen Übel bei mir. Was konnte dieser WinAdServ am Rechner verursachen? NAI-Virenliste im Web gibt keine Antwort.

gruss.

Hallo ckateptb,

im Zusammenhang mit den von Dir genannten Prozessen bin ich mit Google u.a. auf diesen Beitrag bei Spotlight gestoßen. Vielleicht kommst Du so weiter?!? Schau Dir auch die Folgeneiträge an.

Du kannst auch mal eScan (siehe Signatur) ausprobieren.
Evtl. musst Du die kavupd.exe zunächst in com umbenennen damit Du ein Update ausführen kannst. Ich habe das eben mal probiert, funktioniert auch mit einer .com-Endung...

Poste anschließend, was gefunden wurde. Öffne dazu die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen.

hi Lutz!
sehr nett von Dir, dass Du dich mit meinen Problemen beschäftigst!
Vielen Dank!
jetzt zur sache. ich gehe eigentlich davon aus, dass mein PC jetzt sauber ist und nun sind lediglich die Einträge im Registry zu korrigieren. Welche Einträge genau - weis ich nicht. Was ich wusste, hat nichts gebracht.

http://spotlight.de/zforen/sec/m/sec...526-29319.html
hier war ich schon. und wie gesagt - mein pc ist jetzt virenfrei. geblieben sind nur bösen folgen bei registry (so meine vermutung). Oder vielleicht wurde eine systemdatei beschädigt, die für die Ausfürung von EXE-Dateien zuständig ist. keine Ahnung.
die sache mit eScan werde ich machen. Schauen mal. hab hoffnung.
danke nochmal.

hi,
hier die eScan-Ergebnisse:

C:\WINDOWS\System32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action
C:\WINDOWS\System32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
C:\WINDOWS\System32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action
C:\WINDOWS\System32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
C:\Dokumente und Einstellungen\admin\Anwendungsdaten\srlr.exe infected by "TrojanDownloader.Win32.PurityScan.e" Virus.
C:\Programme\HijackThis\backups\backup-20041126-203752-579.dll infected by "Trojan-Downloader.Win32.IstBar.gen" Virus.
C:\Programme\HijackThis\backups\backup-20041126-203753-410.dll infected by "not-a-virus:AdWare.MediaTickets.c" Virus. Action
C:\Programme\HijackThis\backups\backup-20041206-223313-142.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
C:\Quarantäne\A0018810.exe.Vir infected by "TrojanDownloader.Win32.Dyfuca.ae" Virus. Action Taken: No Action Taken.
C:\Quarantäne\A0019435.dll.Vir infected by "TrojanDownloader.Win32.Dyfuca.bb" Virus. Action Taken: No Action Taken.
C:\run\john-k6.zip infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken.
C:\run\john-mmx.zip infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken.
C:\run\john.exe infected by "HackTool.Win32.John" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP73\A0012681.dll infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP73\A0012884.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP74\A0012945.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP74\A0014155.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP77\A0014315.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP89\A0018904.dll infected by "TrojanClicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP93\A0022816.exe infected by "not-a-virus:AdWare.WinAD.b" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP93\A0022817.exe infected by "not-a-virus:AdWare.WinAD" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP93\A0022820.exe infected by "not-a-virus:AdWare.WebRebates.c" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP93\A0022821.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: No Action Taken.
C:\System Volume Information\_restore{16A709AF-C8B4-4C0E-81E9-D8265F374378}\RP93\A0022822.exe infected by "not-a-virus:AdWare.WebRebates.d" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\fastvideoplayer.dll infected by "Trojan-Downloader.Win32.Dyfuca.dn" Virus. Action Taken: No Action Taken.
C:\WINDOWS\system32\vbsys2.dll infected by "Trojan-Clicker.Win32.Agent.ac" Virus. Action Taken: No Action Taken.

@ckateptb

du must die dyfuca dateien auf diskette speichern, zwecks beweissicherung, sind dialers.
versuch doch mal den mcafee abgesichert laufen zu lassen
der hier ist nicht gut.
Trojan-Clicker.Win32.Agent.ac
in dieser familie gibt es ein paar ganz unangenehme trojaner.
unter Trojan-Clicker.Win32.Agent.ac gibt es kaum was in google

du musst die einträge in abgeischerten modus löschen.
neu starten und ein neues HJTlogfile posten
chaosman

hi Chaosmann,
die sache mit mcafee war unproblematisch. Explorer öffnen -> partition auswählen -> rechte maustaste -> nach viren scannen.
wurde aber nichts gefunden. bin irgendwie von VS enttäuscht.
danach habe ich alle Dateien, die eScan gestern gefunden hat, gelöscht und pc neu gestartet. das alte problem immer noch da.
da unten siehst du hijacklog - nichts besonderes:


Logfile of HijackThis v1.98.2
Scan saved at 09:27:19, on 11.12.2004
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Network Associates\Common Framework\FrameworkService.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Network Associates\VirusScan\Mcshield.exe
C:\Programme\Network Associates\VirusScan\VsTskMgr.exe
C:\Programme\Norton Personal Firewall\NISUM.EXE
C:\WINDOWS\System32\svchost.exe
C:\Programme\Norton Personal Firewall\NISSERV.EXE
C:\Programme\Norton Personal Firewall\SymProxySvc.exe
C:\Programme\HijackThis\Antihack.com

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [ShStatEXE] "C:\Programme\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\System32\ctfmon.exe
O4 - Global Startup: Acrobat Assistant.lnk = C:\Programme\Adobe\Acrobat 5.0\Distillr\AcroTray.exe
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe

Bei mir sieht das so aus...
Kann mir jemand helfen?

[edit]

Bitte eröffne, wie jeder andere hier auch, für dein Problem eine eigenes Thema.
Nur so wird sichergestellt as jedem User übersichtlich und individuell geholfen werden kann.

Außerdem solltest du dein Problem besser beschreiben und nicht nur ein Hijacklog posten!

Danke.

[/edit]