|
Plagegeister aller Art und deren Bekämpfung: Naiv - Trojaner und VirenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.02.2005, 14:18 | #1 |
| Naiv - Trojaner und Viren War vielleicht bisher ein bißchen naiv mit Trojanern…habe immer Antivir und z.T. auch ZoneAlarm aktiv gehabt, aber es ist doch passiert… Auf meinem Rechner befanden sich gleich mehrere Trojaner. Mit verschiedenen Programmen (XoftSpy, SpyBot, Ad-Aware, Microsoft AntiSpyware, SpyBouncer, Escan) habe ich das System schon einigermaßen gecleant. Es bleiben aber immer noch einige Bösewichter. Interessanterweise immer andere, je nachdem welche Such-Software man benutzt. Also: SpyBot findet im Registry: 1. n-case bei HKEY_USERS\S-1-5-18\Software\sais und bei HKEY_USERS\DEFAULT\Software\sais 2. Dyfuca bei HKEY_USERS\S-1-5-18\Software\Policies\Avenue Media und bei HKEY_USERS\DEFAULT\Software\Policies\Avenue Media 3. Außerdem verfolgen mich hartnäckig folgende Cookies: atdmt.com von Avenue Inc. und Mediaplex. Spybot beseitigt die immer brav, sie kommen aber genauso gerne immer wieder. 1.+2. kann SpyBot gar nicht beseitigen und rät mir zum Reboot, die Einträge tauchen aber immer wieder auf. Habe auch schon versucht, einige Anleitungen zur Entfernung von n-case und dyfuca im Internet zu finden. Die funktionieren aber alle nicht, da die dort angegebenen Einträge bei mir gar nicht vorhanden sind. Kann ich die einfach gefahrlos im REGEDIT löschen?? XOFTSPY findet ShopAtHome File in D:\winxp\system32\vp.dat Ich hatte schon zuvor alle SAH-Dateien z.T. manuell gelöscht. Es scheint da auf den ersten Blick nix Schlimmes zu passieren, aber die Warnung von XOFTSPY kommt immer wieder. Kann ich vp.dat einfach löschen, soll ich alles so lassen, oder was?? Escan findet 2 Viren: 1. D:\winxp\system32win32.exe infected by Trojan.Dropper.Win32.WinAD.c 2. D:\winxp\system32\du.exe infected by “not-a-virus:AdWare.Dealhelper.w (Anm.: Windows XP ist bei mir in „WINXP“, nicht „WINDOWS” installiert). Habe nur die Escan-Suchfunktion ausgeführt, für´s Löschen müsste ich EScan kaufen. Krieg ich die Fieslinge weg, ohne mir EScan kaufen zu müssen? Mein Antivir schafft´s offenbar nicht, oder mach ich was falsch? (habe die aktuellste Version) Die Microsoft-Antispyware findet interessanterweise nix mehr, Ad-Aware auch nicht mehr…Allerdings läuft das Internet z.Zt. auch (noch!) OK. Beim Antivir-Scan werden immer wieder Dateien angezeigt und deleted (kommen aber immer wieder), die die Signatur von sdbot.80820 und RBot.81852 enthalten. Kann mir jemand helfen? Warum können einen diese idiotischen Hacker eigentlich nicht einfach in Ruhe im Internet surfen lassen??? |
07.02.2005, 14:46 | #2 | ||
| Naiv - Trojaner und Viren @cste
__________________Zitat:
Zitat:
Bei Trojaner mit Backdoor-Funktion bleibt nur: http://www.trojaner-board.com/showthread.php?t=12154 |
07.02.2005, 15:02 | #3 | |
| Naiv - Trojaner und Viren Wirklich keine andere Möglichkeit???
__________________Zitat:
|
09.02.2005, 17:11 | #4 |
| Naiv - Trojaner und Viren Hmm.... habe doch einmal alle möglichen Scans versucht und einige Einträge im REGEDIT gelöscht. Jetzt ist das System FAST sauber (auch ohne Neuformatierung der Festplatte - "danke" für den Tipp an Rene-GAD, so schlau bin ich dann auch noch). Es bleibt jetzt nur noch Folgendes: 1.XOftspy findet immer noch die ShopAtHomeFile in der Datei D:\winxp\sytem32\vp.dat; das Programm verspricht Beseitigung, wenn ich XOftspy kaufe. Es finden sich weder bei Suchen auf der Platte noch mit REGEDIT irgendwelche SAH-Dateien mehr, nachdem ich die z.T. mit Virenscanner, z.T. manuell entfernt habe. Kann ich diesen Rest beseitigen, ohne XOftspy kaufen zu müssen? Oder kann ich vp.dat einfach löschen? 2. Escan bzw. Kaspersky zeigt mir immer noch die Meldung "D:\winxp\system32\dun.exe infected by not-a-virus:AdWare.DealHelper.w". Auch hier müßte ich Escan kaufen, um es zu beseitigen. Geht das auch anders? 3. Ad-Aware und Spybot finden nach Reboot immer mehrere "verfolgende Cookies" (z.b. DoubleClick, Mediaplex), die als gering gefährdend eingestuft werden. Beide Programme entfernen diese brav, sie tauchen aber nach Re-Boot immer wieder auf. Ich nehme an, daß der DealHelper (s.o.) mir diese Cookies einbrockt? Oder wie kann ich die sonst los werden?? AntiVir findet nix mehr, Dyfuca, TrojanDropperWin32.WinAD.c und n-case sind auch erfolgreich eliminiert. Kann mir jemand helfen??? Danke!! cste |
09.02.2005, 18:57 | #5 |
| Naiv - Trojaner und Viren @cste wenn du dieses forum mal durchgelesen hättest, dann würdest du wissen, dass wir meistens nach HJT logfile oder escan ergebnisse fragen. poste bitte ein HJT logfile, und die escan ergebnisse Teile uns dann das Ergebnis des eScan mit: welche Viren wurden auf Deinem Rechner gefunden: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Zitat Cidre) dann können wir dir helfen chaosman
__________________ Bonus vir semper tiro |
09.02.2005, 22:06 | #6 |
| Naiv - Trojaner und Viren OK, ich bin wirklich GANZ neu hier! Bitte also hier um etwas Nachsciht. Also: Ergebnis von EScan: File D:\WINXP\system32\dun.exe infected by "not-a-virus:AdWare.DealHelper.w" Virus. HJT-Log: Logfile of HijackThis v1.99.0 Scan saved at 21:28:30, on 09.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: D:\WINXP\System32\smss.exe D:\WINXP\system32\winlogon.exe D:\WINXP\system32\services.exe D:\WINXP\system32\lsass.exe D:\WINXP\system32\svchost.exe D:\WINXP\System32\svchost.exe D:\WINXP\system32\spoolsv.exe D:\WINXP\Explorer.EXE D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\AVPersonal\AVSched32.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe D:\WINXP\system32\ctfmon.exe D:\Programme\Messenger\msmsgs.exe D:\Programme\Microsoft AntiSpyware\gcasDtServ.exe D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe D:\DOKUME~1\cste\LOKALE~1\Temp\400000108000a722430022\hs.exe D:\Programme\WinZip\WZQKPICK.EXE D:\Programme\AVPersonal\AVGUARD.EXE D:\Programme\AVPersonal\AVWUPSRV.EXE D:\WINXP\system32\ZoneLabs\vsmon.exe D:\Programme\HijackThis\HijackThis.exe R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.de/Default.asp O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O4 - HKLM\..\Run: [ToADiMon.exe] D:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart O4 - HKLM\..\Run: [gcasServ] "D:\Programme\Microsoft AntiSpyware\gcasServ.exe" O4 - HKLM\..\Run: [AVGCtrl] D:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\AVPersonal\AVSched32.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - HKLM\..\Run: [HistorySweep] "D:\PROGRA~1\HISTOR~1\HistorySweep.exe" /autostart O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINXP\system32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\Adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: WinZip Quick Pick.lnk = D:\Programme\WinZip\WZQKPICK.EXE O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe O16 - DPF: ppctlcab - http://ppupdates.ca.com/downloads/scanner/ppctlcab.cab O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?link...38&clcid=0x409 O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1106961564723 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: HistorySweepService - Unknown - D:\Programme\HistorySweep\HSSvc.exe O23 - Service: KLBLMain - Kaspersky Lab - D:\Programme\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - D:\WINXP\system32\ZoneLabs\vsmon.exe So, das wär´s. Kann man den Dealhelper da wegbekommen?? Ist sonst noch was faul? Vielen Dank für die Hilfe!! CSTE |
09.02.2005, 22:08 | #7 |
Naiv - Trojaner und Viren jep. lösche die datei einfach im abgesicherten modus. |
10.02.2005, 00:48 | #8 |
| Naiv - Trojaner und Viren Also erst einmal vielen Dank!!! Ich habe jetzt nach fast 3 Tagen am PC den ganzen Sch... weggeräumt, den mir diese Hacker-Idioten auf meinen PC gezaubert hatten. Nach Löschen von dun.exe (offenbar das Uninstall-Programm von Dealhelper) findet E-scan jetzt nix mehr und Windows startet einwandfrei. Auch Antivir und Spybot erklären mich für virenfrei! Aber ich habe in meinen verzweifelten Versuchen, diese Trojaner loszuwerden, auch andere Antiviren-Programme über meinen PC laufen lassen und XOftSpy findet immer noch die ShopAtHome File in der Datei d:\winxp\system32\vp.dat. Das Dateichen ist 4 KB groß und wenn man mit Rechts-Mausklick unter "Eigenschaften" schaut, hat es keine Microsoft-Signatur. Kann man das auch einfach so löschen?? Nochmals vielen Dank für die Hilfe! Macht Spaß, wieder an einem halbwegs "sauberen" PC zu arbeiten! cste |
10.02.2005, 14:25 | #9 |
| Naiv - Trojaner und Viren Kurze Ergänzung. Habe auf der Homepage von Pestpatrol www.pestpatrol.com/pest_info/de/s/sahagent.asp eine Anleitung zur Entfernung vom sahagent gefunden (die deutsche Übersetzung ist übrigens lesenswert ). War bei mir alles schon weg durch die vorherigen Antiviren-Scanner. Aber da stand auch, daß man den vp.dat löschen soll. Hab´s gemacht. Jetzt ist wirklich ALLES desinfiziert. Alle Virenscanner schweigen... JUHU!!! Gruß, cste (Hoffe, daß ich Euch nicht zu oft wieder bemühen muß, obwohl ich in den letzten Tagen einiges über´s Internet gelernt habe - und meine Naivität verloren!) |
10.02.2005, 16:26 | #10 | |
| Naiv - Trojaner und VirenZitat:
sonst bist Du bald wieder hier |
Themen zu Naiv - Trojaner und Viren |
.com, .exe, ad-aware, aktiv, antispyware, antivir, escan, falsch, file, helfen, home, immer wieder da, infected, internet, löschen, löschen?, mehrere, microsoft, nicht vorhanden, programme, regedit, registry, s-1-5-18, surfen, system, system32, trojaner, träge, viren, warnung, warum, windows, windows xp, winxp |