Mein Anti- Virus Programm zeigt an das ich einen trojan dropper tvmk1.dll auf meinem computer habe. Weis irgendwer wie ich ihn wieder entfernen kann?

Hallo,

erstelle mit HiJackThis ein Log-File und poste es hier rein.
Persönliche Informationen, wie Benutzername und dergleichen, bitte unkenntlich machen.

Überprüfe mal die folgende Datei bei http://virusscan.jotti.org/de
und poste das Ergebnis:
tvmk1.dll

hallo moni001

habe das gleiche problem, bei mir blieb das warnfenster vom norten die ganze zeit aktiv (anscheinend produzierte der trojaner nach isolation sofort wieder eine neue dll).
habe dann mal den sys32 order von windows unter die lupe genommen.....und siehe da: es existierte eine datei namens tvmk1.exe .....ist schon sehr auffällig.....da ja der von norton angezeigte trojaner den gleichen namen besitzt, einfach als dll datei. habe nun tvmk1.exe manuell über den explorer gelöscht und windows danach im abgesicherten modus (bei aufstarten f8 drücken) neustarten lassen (sonst kann die tvmk1.dll nicht gelöscht werden)....und dann kannste über den explrer die bösartige dll löschen.
einziges "?" ist aufgetaucht....diesen närrische trojaner konnte ich somit unschädlich machen, auch die dll datei wird nicht wieder neu generiert, einzige neuerung: mein trojaner hat sich vor dem löschen noch einen backup geschaffen namens tvmk1.dlltmp. dieser wird von norton beim aufstarten vom internetexplorer erkannt, kann jedoch nicht gelöscht werden.
manuelle suche nach diesem mistfink hat null resultate gelifert, finde die datei tvmk1.dlltmp nirgens (habe bei "datei ansicht" sogar die geschützen systemdateinen anzeigen lassen). norten gibt zwar den ort an: C:\WINDOWS\System32\tvmk1.dlltmp
ist mit dem Virus Trojan dropper infiziert.
Der Zugriff auf die Datei wurde verwehrt.
jedoch finden tue ich ihn nicht.

in dem sinne.....bin auch froh um weitere infos

danke und gruss
schlagi

@ schlagi

versuch es mal so:
Windowssuche-->weitere Optionen-->
Haken bei: Systemordner durchsuchen Versteckte Elemente durchsuchen
Unterordner durchsuchen

vielleicht ist sie dann sichtbar
Trotz alle dem würde ich das System mal mit eScan checken siehe Beschreibung unten

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.


--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

Hallo

bin hier vollkommen neu und brauche jemanden der mir idiotensicher erklären kann, wie ich Trojaner entfernen kann! Habe anscheinend mehrere wie der BitDefender 8Professional Plus mir anzeigt zb: Salm.exe, Ncasd.exe und Trojan.Downloader.Dyfuca.DP/DD
wie werde ich die wieder LOS flippe bald aus!!!!!!!!!!!11

Bitte helft mir. Email addy: Nightheart@versanet.de

Gruß SatanW1982

Für ein neues Problem bitte einen eigenen Thread erstellen und das, was hier vorgeschlagen wurde, ausführen, nämlich ein Hijackthis-Logfile erstellen und posten. Für die Hilfe ist das Forum da, E-mail-Support machen wir keinen.

@ gigamail

so habe nun endlich meinen pc ge-checkt...war lange nicht mehr am compi..

e scan hat folgendes ergeben:

Thu Feb 17 19:10:27 2005 => Total Files Scanned: 4035
Thu Feb 17 19:10:27 2005 => Total Virus(es) Found: 8
Thu Feb 17 19:10:27 2005 => Total Disinfected Files: 0
Thu Feb 17 19:10:27 2005 => Total Files Renamed: 0
Thu Feb 17 19:10:27 2005 => Total Deleted Files: 0
Thu Feb 17 19:10:27 2005 => Total Errors: 0
Thu Feb 17 19:10:27 2005 => Time Elapsed: 00:03:43
Thu Feb 17 19:10:27 2005 => Virus Database Date: 2005/02/14
Thu Feb 17 19:10:27 2005 => Virus Database Count: 118236

Thu Feb 17 19:10:27 2005 => Scan Completed.


gefundene virus:


File C:\WINDOWS\System32\ARTM.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken.

File C:\WINDOWS\System32\setup_incred_10.exe infected by "Trojan-Downloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\oem1\LOKALE~1\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\oem1\LOKALE~1\Temp\i12DA.tmp infected by "Trojan-Downloader.Win32.Totavel.a" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\oem1\LOKALE~1\Temp\istdnld.exe infected by "Trojan-Downloader.Win32.IstBar.ap" Virus. Action Taken: No Action Taken.

so das wärs,,,,,,kanst du damit was anfangen?!
rein vom gefühl her würde ich diese dateien im abgesicherten modi über den explorer löschen...ist dies verkehrt ?....übersehe ich dabei evt. hintertüren ?

danke für feedback

gruss
schlagi

ok Schlagi

Zitat:

Thu Feb 17 19:10:27 2005 => Total Files Scanned: 4035

entweder hast du nicht im abgesicherten Modus gescannt, oder die Haken sind nicht richtig gesetzt.
Alle Haken setzen und ALL Scan Files anklicken

Die bis jetzt erkannten Dateien im abgesicherten Modus , deaktiviere die Systemwiederherstellung, löschen, dann den escan nochmal ausführen, aber dieses mal richtig, das dauert 1 Stunde und länger und es stehen dann so 40000- mehr als 60000 Dateien (je nach dem wieviel auf Deinem system sind)
als gescannt

@gigamail


danke für deine geduld....smile

nun die vollständige liste:

File C:\WINDOWS\System32\ATPART~1.DLL infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

File C:\PROGRA~1\INCRED~1\BHO\INCFIN~1.DLL infected by "Trojan-Downloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

File C:\PROGRA~1\COMMON~1\updater\wupdater.exe infected by "Trojan-Downloader.Win32.Keenval" Virus. Action Taken: No Action Taken.

File C:\Programme\Web_Rebates\WebRebates0.exe infected by "not-a-virus:AdWare.HelpExpress" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\winsystem32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\ARTM.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken.

File C:\WINDOWS\System32\setup_incred_10.exe infected by "Trojan-Downloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\System32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\oem1\LOKALE~1\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\oem1\LOKALE~1\Temp\i12DA.tmp infected by "Trojan-Downloader.Win32.Totavel.a" Virus. Action Taken: No Action Taken.

File C:\DOKUME~1\oem1\LOKALE~1\Temp\istdnld.exe infected by "Trojan-Downloader.Win32.IstBar.ap" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\oem1\Lokale Einstellungen\Temp\djtopr1150.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\oem1\Lokale Einstellungen\Temp\i12DA.tmp infected by "Trojan-Downloader.Win32.Totavel.a" Virus. Action Taken: No Action Taken.

File C:\Dokumente und Einstellungen\oem1\Lokale Einstellungen\Temp\istdnld.exe infected by "Trojan-Downloader.Win32.IstBar.ap" Virus. Action Taken: No Action Taken.

File C:\Programme\Common files\updater\delupdat.exe infected by "Trojan-Downloader.Win32.Keenval" Virus. Action Taken: No ActionTaken.

File C:\Programme\Common files\updater\sui.exe infected by "Trojan-Downloader.Win32.Keenval" Virus. Action Taken: No Action Taken.

File C:\Programme\IncrediFind\BHO\IncFindBHO.dll infected by "Trojan-Downloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\03360BFA.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\034333EC.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\035A59D3.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\036457C8.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\036B2BC1.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\120E151E.tmp infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\121F670C.tmp infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\14325995.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\143F0187.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\165D576B.tmp infected by "Email-Worm.Win32.NetSky.q" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\1DE802FB.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\1DF62AED.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\1E3772A5.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\1E514288.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\1E5E6A7A.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\1EA35C2E.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\1EBD2C12.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\22667694.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\228A446C.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\23533369.tmp infected by "Email-Worm.Win32.Swen" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\32627152.tmp infected by "Email-Worm.Win32.Sober.f" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\34435813.tmp infected by "Email-Worm.Win32.Sober.g" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\5D2C5308.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\5D4378EF.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\5D5020E0.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\5D557DF8.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\5D6225E9.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Norton AntiVirus\Quarantine\5D7C75CD.tmp infected by "Email-Worm.Win32.Sober.i" Virus. Action Taken: No Action Taken.

File C:\Programme\Web_Rebates\disp1150.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus. Action Taken: No Action Taken.

File C:\Programme\Web_Rebates\WebRebates1.exe infected by "not-a-virus:AdWare.WebRebates.b" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP85\A0035455.exe infected by "Trojan-Downloader.Win32.Keenval" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP85\A0035487.exe infected by "not-a-virus:AdWare.F1Organizer.h" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP86\A0038567.dll infected by "Trojan-Dropper.Win32.Small.ly" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP86\A0038574.dll infected by "Trojan-Dropper.Win32.Small.ly" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP86\A0038638.dll infected by "Trojan-Dropper.Win32.Small.ly" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP86\A0038639.exe infected by "Trojan-Dropper.Win32.Small.ht" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP86\A0038645.dll infected by "Trojan-Dropper.Win32.Small.ly" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP86\A0038647.dll infected by "Trojan-Dropper.Win32.Small.ly" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\Downloaded Program Files\gsda.dll tagged as not-a-virus:RiskWare.Downloader.SpyGame. No Action Taken.

File C:\WINDOWS\Downloaded Program Files\ISTactivex.dll infected by "Trojan-Downloader.Win32.IstBar.ag" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\ARTM.exe infected by "not-a-virus:AdWare.BetterInternet" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\ATPartners.dll infected by "not-a-virus:AdWare.F1Organizer.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\H@tKeysH@@k.DLL tagged as not-a-virus:Cracker.Game.HotHook.dll. No Action Taken.

File C:\WINDOWS\system32\setup_incred_10.exe infected by "Trojan-Downloader.Win32.Keenval.e" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\WebRebates_Auto_InstallSilent.exe infected by "not-a-virus:AdWare.WebRebates.g" Virus. Action Taken: No Action Taken.

fortsetzung im nächsten.....

....fortsetzung (sorry für den spam)

File D:\download\artmoney710eng.exe infected by "not-a-virus:AdWare.F1Organizer.h" Virus. Action Taken: No Action Taken.

File D:\download\ypp128chs1m_adult.exe infected by "Trojan.Win32.Dialer.ba" Virus. Action Taken: No Action Taken.

File D:\Eigene Dateien\rippen\mp3codec.zip tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\Programme\Pinnacle\Studio 9\OEM\hfx55StudioPatch.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\Programme\Pinnacle\Studio 9\OEM\hfx55StudioSilent.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File D:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP63\A0026228.exe infected by "Trojan-Downloader.Win32.Agent.ab" Virus. Action Taken: No Action Taken.

File D:\System Volume Information\_restore{46E95980-3675-42A1-A291-FA28F95A3361}\RP75\A0032647.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

Fri Feb 18 02:04:56 2005 => ***** Scanning complete. *****

Fri Feb 18 02:04:56 2005 => Total Files Scanned: 121834
Fri Feb 18 02:04:56 2005 => Total Virus(es) Found: 71
Fri Feb 18 02:04:56 2005 => Total Disinfected Files: 0
Fri Feb 18 02:04:56 2005 => Total Files Renamed: 0
Fri Feb 18 02:04:56 2005 => Total Deleted Files: 0
Fri Feb 18 02:04:56 2005 => Total Errors: 5
Fri Feb 18 02:04:56 2005 => Time Elapsed: 03:17:54
Fri Feb 18 02:04:56 2005 => Virus Database Date: 2005/02/14
Fri Feb 18 02:04:56 2005 => Virus Database Count: 118236

Fri Feb 18 02:04:56 2005 => Scan Completed.

.
.
so...nun wie löscht man das zeugs (vorallem die in den schlüsseln versteckten dateien) ?
beim durchgucken viel mir spez. die bezeichnung: Tool.Win32.Reboot auf....hat diese datei vieleicht auch etas mit dem altbekannten, kleinen fenster: ...mit irgendwelchen RPC.....dingsda...meldungen und das der computer innert 1 min. automatisch runter fährt......?

besten dank für die hilfe mei meinen trojanern bzw virus
grüsse und ein schönes weekend allen

schlagi

Zitat:

File C:\WINDOWS\system32\winsystem32.exe infected by "Backdoor.Win32.Rbot.gen" Virus. Action Taken: No Action Taken.

=> System neu aufsetzen

Sorry