|
Plagegeister aller Art und deren Bekämpfung: TR/Clicker.Libie.AWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
13.02.2005, 11:19 | #1 |
| TR/Clicker.Libie.A Hallo, bin neu hier und könnte Hilfe brauchen. Habe das Trojanische Pferd TR/Clicker.Libie.A! auf meinem Rechner. Gefunden von AntiVir. Leider weiss ich nicht was es macht und was ich dagegen tun muss. Über Suchfunktionen oder Google bin ich nicht weiter gekommen. Danke im voraus greenie Hier noch das Logfile welches mir zwar nicht weiterhilft, aber mit dem einige wohl was anfangen können, Logfile of HijackThis v1.99.0 Scan saved at 11:02:38, on 13.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe D:\Programme\mbprobe130\MBProbe.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\joerg\Desktop\Seti\Seti\setiathome-3.03.i386-winnt-cmdline.exe D:\Programme\Opera7\Opera.exe C:\Dokumente und Einstellungen\joerg\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.greenie.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: (no name) - {F195A1A9-4033-4E5B-B85C-848C3E31A83A} - c:\syslibie.dll (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [SetIcon] C:\Program Files\SMSC\Seticon.exe O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - Startup: Verknüpfung mit MBProbe.lnk = D:\Programme\mbprobe130\MBProbe.exe O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar2.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar2.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar2.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar2.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105565830656 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
13.02.2005, 13:18 | #2 |
| TR/Clicker.Libie.A @greenie
__________________hier ein paar infos http://sarc.com/avcenter/venc/data/p....syslibie.html wechsle in den abgesicherten modus und fixe mit HJT O2 - BHO: (no name) - {F195A1A9-4033-4E5B-B85C-848C3E31A83A} - c:\syslibie.dll (file missing) danach manuell löschen, wenn noch vorhanden c:\syslibie.dll neu booten, neues HJT logfile posten chaosman
__________________ |
13.02.2005, 14:02 | #3 |
| TR/Clicker.Libie.A Hallo,
__________________danke erst einmal für die schnelle Antwort. Wie gesagt bin neu hier und der Teil unten ist ein wenig chinesisch. Also habe den HJT (ist doch wohl HijackThis oder ?) den Eintrag fixen lassen, allerdings nicht im abgesicherten Modus. Ist das schlimm ? u nd warum muss es im abgesicherten modus sein? die datei syslibie.dll hat antivir ins infected verzeichnis verschoben und ich hab sie glöscht . war es das dann? danke greenie wechsle in den abgesicherten modus und fixe mit HJT O2 - BHO: (no name) - {F195A1A9-4033-4E5B-B85C-848C3E31A83A} - c:\syslibie.dll (file missing) danach manuell löschen, wenn noch vorhanden c:\syslibie.dll neu booten, neues HJT logfile posten chaosman Logfile of HijackThis v1.99.0 Scan saved at 13:56:02, on 13.02.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.EXE D:\Programme\AVPersonal\AVGNT.EXE D:\Programme\Zone Labs\ZoneAlarm\zlclient.exe d:\Programme\AVPersonal\AVGUARD.EXE d:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe D:\Programme\mbprobe130\MBProbe.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ZoneLabs\vsmon.exe C:\WINDOWS\system32\wscntfy.exe C:\Dokumente und Einstellungen\joerg\Desktop\Seti\Seti\setiathome-3.03.i386-winnt-cmdline.exe D:\Programme\Opera7\Opera.exe D:\Programme\HiJack\HijackThis.exe C:\WINDOWS\system32\NOTEPAD.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.greenie.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: IE PopUp-Killer ; Neikeisoft - {49E0E0F0-5C30-11D4-945D-000000000003} - D:\PROGRA~1\Ashampoo\ASHAMP~1\PopUp.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AVGCtrl] d:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [Zone Labs Client] "d:\Programme\Zone Labs\ZoneAlarm\zlclient.exe" O4 - Startup: Verknüpfung mit MBProbe.lnk = D:\Programme\mbprobe130\MBProbe.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1105565830656 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - d:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - d:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: TrueVector Internet Monitor - Zone Labs LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe |
13.02.2005, 16:26 | #4 |
| TR/Clicker.Libie.A @greenie den Eintrag fixen lassen, allerdings nicht im abgesicherten Modus. Ist das schlimm ? u nd warum muss es im abgesicherten modus sein? ja, muss sein, windows startet dann nur mit minimale treiber und dienste. wenn du pech hast benennt der malware sich laufend um, und erstellt sich wieder neu. du hast mehr glück als V....... dein logfile schaut sauber aus chaosman
__________________ Bonus vir semper tiro |
Themen zu TR/Clicker.Libie.A |
adobe, antivir update, avg, bho, desktop, einstellungen, explorer, file missing, google, hijack, hijackthis, internet, internet explorer, logfile, messenger, microsoft, monitor, neu, nvcpl.dll, nvidia, opera, programme, rundll, software, sun java, system, windows, windows messenger, windows xp |