Trojaner die nicht weg wollen...

TrojaFr3ak · 03.02.2005, 18:06

Hallo leute , ich bin neu hier...habe seit geraumer zeit ein paar probs mit trojaner und bekomme die nicht weg,muss dabei sagen das ich nicht sooo die ahnung habe im punkt computer...also ich habe auf meinem rechner
adaware,spybot die windows firewall und Nod32 als virenscanner,
so mein problem sind folgende trojaner

C:\DOKUME~1\Anwender\LOKALE~1\Temp\AAWTMP\C1917140\148ED9\gsda.dll
Win32/TrojanDownloader.SpyGame.A Trojaner
---------------------------------------------------
C:\DOKUME~1\Anwender\LOKALE~1\Temp\AAWTMP\C2052515\1CDC1D\mm21.ocx
Win32/TrojanDownloader.VB.EZ Trojaner

finde im netz nichts dazu was ich auch verstehe um zu setzen könnte,hoffe ihr habt rat. danke im vorraus

gary · 03.02.2005, 18:12

@ TrojaFr3ak

Guck mal da

http://www.sophos.de/virusinfo/analy...dloaderge.html

TrojaFr3ak · 03.02.2005, 18:17

war jetzt in meiner registry und habe geschaut ob in diesem pfad etwas zu finden ist,leider nicht
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

chaosman · 03.02.2005, 20:43

@TrojaFr3ak
lade dir clearprog, bei www.clearprog.de
programm starten, alle häkchen bei IE und windows setzen, löschen.
lade dir danach escan download
anleitung
überprüfe Deinen Rechner zunächst mit dem eScan: lade den eScan runter, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Beachte, dass der eScan ab Version 4.5.1 gefundene Malware nicht löscht. Das wird von Hand auf Anweisung durch uns gemacht.

Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre
scan dauert 1 stunde
chaosman

TrojaFr3ak · 03.02.2005, 23:09

File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Programme\Java\jdk1.5.0\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\Java\jdk1.5.0\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014442.DLL infected by "not-a-virus:AdWare.FunWeb.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014457.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014462.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014463.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014496.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014497.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014500.DLL infected by "not-a-virus:AdWare.TotalVelocity.MyWebSearch.b" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014511.exe infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

TrojaFr3ak · 03.02.2005, 23:13

also ich habe es genau so gemacht wie du es gesagt hast,hab den scan laufen lassen,habe nur gerade bemerkt das ich nicht einen haken drauf hatte (scan all folders) ich lasse den gleich nochmal laufen und werde wenn sich etwas geändert hat nochmal nach posten...hoffe das war so richtig was ich gepostet hab. greetz fr3ak

Chris14 · 03.02.2005, 23:14

ich sehe kaum gefährliche dinge..
nur n paar adware..
zunächst empfehle ich dir deinen javacache zu leeren (ich bin momentan einfach zu faul, selbst darüber nachzudenken wie man den nochmal leert^^)
dann solltest du die systemwiederherstellung zu deaktivieren:
-rechtsklick auf arbeitsplatz, eigenschaften
-systemwiederherstellung
-haken hin bei "systemwiederherstellung auf allen laufwerken deaktivieren"
-neustarten
-haken weg machen

TrojaFr3ak · 04.02.2005, 15:34

File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.

File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Anwender\Lokale Einstellungen\Anwendungsdaten\{32A3A4F2-B792-11D6-A78A-00B0D0150000}\J2SE Development Kit 5.0.msi tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\Gemeinsame Dateien\Java\Update\Base Images\jdk1.5.0.b64\demos.zip tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\Java\jdk1.5.0\demo\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\Programme\Java\jdk1.5.0\demo\plugin\applets\BarChart\BarChart.class tagged as not-a-virus:JavaClass.Chart. No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014442.DLL infected by "not-a-virus:AdWare.FunWeb.a" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014457.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014462.EXE infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014463.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014496.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014497.DLL infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014500.DLL infected by "not-a-virus:AdWare.TotalVelocity.MyWebSearch.b" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP99\A0014511.exe infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\_MSRSTRT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Download´s\Files\netpumper-1.20.1-setup.exe infected by "not-a-virus:AdWare.SaveNow.v" Virus. Action Taken: No Action Taken.
File D:\Download´s\Files\q3pointrelease_132.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\Download´s\Files\trj_remover.rar tagged as not-a-virus:Cracker.TrojRmv. No Action Taken.
File D:\games\Quake III\Check for Quake III Arena Updates.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\games\Quake III\Extras\WorldNet\PCVKIT.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\programme\mechanicaldesktop6\acadm\migration\pictaker\PTEEEval.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\programme\mechanicaldesktop6\migration\pictaker\PTEEEval.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File D:\programme\pG-IRCv2\addon\dlls\moo.dll tagged as not-a-virus:Tool.Win32.Moo. No Action Taken.
File D:\programme\pG-IRCv2\mirc.exe tagged as not-a-virus:RiskWare.mIRC.6.03. No Action Taken.
File D:\System Volume Information\_restore{F5662A86-2A08-4BFB-AB4E-F3A8BC8E119B}\RP131\A0020143.exe tagged as not-a-virus:RiskWare.mIRC.6.16. No Action Taken.

Dieser scan ist nun von meinem ganzen rechner !

ice · 01.03.2005, 17:05

hi leute,
ich hab folgendes problem und komm einfach nicht weiter ich hab das

Trojanische Pferd TR/StartPage.IG

auf meinem computer!
natürlich bin ich absoluter laie und weiß nicht wie ich es weg bekomm.
natürlich hab ich schon in dem forum hier geschaut, hab das auch versucht, hat aber nicht geklappt. vielleicht hab ich was falsch gemacht???
auf jeden fall wollte ich fragen, ob mir jemand eine ganaue anleitung geben kann, wie ich es wieder weg bekomm??? so mit 1., 2., 3., ...(windows xp)
wär echt cool, weil ich solangsam verzweifel an den fehlermeldungen von meinem antivir (alle 5 sek. und dann mehrfach)

also wenn mir jamand helfen kann!?! danke im vorraus.
gruß ice

Haui45 · 01.03.2005, 17:09

Hallo,
wo findet AntiVir den Trojaner?
Poste ein HijackThis Logfile:
kurze Beschreibung
ausführliche Beschreibung

Dané · 01.03.2005, 17:12

Lass mal mit Escan durchlaufen,wenn dann immer noch nicht klappt versuch es mit hijack und poste was dabei herauskommt.

Dané · 01.03.2005, 17:15

Hab noch eine bessere Idee ,lad dir mal Trojan Remover 6.3.5 runter und lass es mal durchscannen.

Haui45 · 01.03.2005, 17:18

Da der Trojaner, ganz dem Namen nach, auch die Startseite verändert, wäre ein HijackThis-Logfile äußerst hilfreich...

Cyrus · 01.03.2005, 18:53

Habe offensichtlich die gleichen Probleme wie viele andere "unbeleckte" User.
Habe mich durch die Postings gelesen und den einen und anderen Tip übernommen. Leider bisher ohne Erfolg. Angebblich habe ich den Virus W32.spreda.B.spy auf meinem System. Jedenfalls ist meine Startseite im Internet www.utruuh.globe-finder.cc. Bekomme den Mist nicht weg.
Habe nach dem Einsatz zahlreicher Antiviren-Programme zum Schluß den HijackThis drüber laufen lassen. Mit folgendem Ergebnis:

Logfile of HijackThis v1.99.1
Scan saved at 18:46:57, on 01.03.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
C:\Programme\Norton Internet Security\NISUM.EXE
C:\Programme\CASIO\Photo Loader\Plauto.exe
C:\WINDOWS\system32\ntvdm.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Norton Internet Security\ccPxySvc.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\Programme\Norton AntiVirus\navapsvc.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Softwin\BitDefender Free Edition\bdmcon.exe
C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
C:\Dokumente und Einstellungen\Hartwig\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?iiehf
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://rl.webtracer.cc/-/?iiehf
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O1 - Hosts: 1159680172 auto.search.msn.com
O4 - Startup: Eike.lnk = C:\WINDOWS\CARDFILE.EXE
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: PhotoLoader resident.lnk = C:\Programme\CASIO\Photo Loader\Plauto.exe
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2\bin\npjpi142.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C:oo.mht!http://superprogdownload.com/downloa....chm::/win.exe
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/SSC/Sha...in/AvSniff.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1108561738506
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.2) - http://p1x.de/jinstall-1_4_2-windows-i586.cab
O19 - User stylesheet: C:\WINDOWS\stsheets.dat
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Proxy Service (ccPxySvc) - Symantec Corporation - C:\Programme\Norton Internet Security\ccPxySvc.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - C:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: Norton Internet Security Accounts Manager (NISUM) - Symantec Corporation - C:\Programme\Norton Internet Security\NISUM.EXE
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: BitDefender Communicator (XCOMM) - Softwin - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe

Wer kann mir helfen? Meinen unendlichen Dank seit jetzt schon gewiß!!

Trojaner die nicht weg wollen...

Plagegeister aller Art und deren Bekämpfung: Trojaner die nicht weg wollen...