*ich verschieb mal aus meinem Trojaner-thread hierher *


Nachdem ich alles wieder und wieder gescanned habe und sogar zusätzlich noch diverse Spyware gefunden und gelöscht wurde, ich 1 kompletten Ordner "IM" gefunden habe, der auch noch incredimail enthielt (den hab ich erst im abgesicherten Modus durch einzelnes durchforsten gefunden, nicht über die Suchfunktion), hab ich immer noch folgende Probleme:

eScan findet 5 Dateien, die aber nur als "not-a-virus" markiert werden (1 davon habe ich gefunden und gelöscht), und Hijack listet sie NICHT.

C:\DOKUME~1\Privat1\LOKALE~1\Temp\ImInstaller\Incr ediMail\imloader.exe
(Vermerk: not a virus. Risk Ware.Downloader.Imloader.b.no action taken)
C:\DOKUME~1\Privat1\LOKALE~1\Temp\ImImstaller\Inst aller_IncrediMail.log
C:\WINNT\system32\Tools\Restart.exe
(Vermerk: not a virus, Risk Ware.Tool.Destart.No action taken)
C:\WINNT\Downloaded Program Files\imloader.exe
(Vermerk: not a virus.RiskWare.Downloader.Imloader.b. no action taken)


Kann mir jemand helfen bitte?

@Bibi
diese einträge kannst du in den abgesicherten modus mit HJT fixen
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

anschließend manuell löschen
C:\WINNT\web\related.htm

eScan findet 5 Dateien, die aber nur als "not-a-virus" markiert werden (1 davon habe ich gefunden und gelöscht), und Hijack listet sie NICHT.

escan findet vieles, nicht nur viren.
hast du ansonsten noch problemen?
chaosman

Hallo chaosman,
vielen lieben Dank für Deine *superschnelle* Antwort
Seltsam, daß man anderslautende Dateien fixen/löschen muß, um die eigentlichen loszuwerden *oder versteh ich da was falsch?*

Ich hoffe nur, daß mit dem Fixen dieser Dateien mein Trojanerproblem endgültig geklärt ist (TRDrop.Delf.FD1 und TR/Click.NoName.A)

Ein Problem bliebe noch, meine Funktastatur samt Optical mouse spinnen, der Mauszeiger springt manchmal unvermittelt über den Bildschirm, manchmal ist er total lahm und ruckelig und unkoordiniert, kann es sein, daß die Trojaner irgendwas kaputt gemacht haben, wodurch sowas dann passiert? (an Batterie und Sender kann es nicht liegen - es sei denn der ist kaputt)

noch ne Frage: Du hast mir jetzt 2 Dateien genannt, das \web\related gehört ja dazu. Was ist mir den anderen 2 Dateien? Sind die damit verbunden und automatisch mitgefixed?

und jetzt mal was anderes:

ich habe gerade den Beitrag *Nicht nur Lender-search...* von ponzelar angeklickt und bekomme die Meldung (Worte gekürzt):

C:\Dok + Einst.\Priv1\Lok.1\TempInternFiles/Content.IE5/016VO1IN\Showthread(4).PHP

enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

!! was ist denn das?

push.......

beim Anklicken des Beitrags: "Was hab ich mir da eingefangen" von V8power.org die gleiche Meldung:

enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Was ist denn das??

Ich vermute ganz stark, dass es sich um einen Fehlalarm von AntiVir handelt!
Offensichtlich ähnelt der Code der Threads ungünstigerweise einem von AntiVir erkannten Scriptvirus...

OK, gerade Bestätigung geholt, daß die anderen 2 Dateien nicht mitgelöscht wurden. Also:

eScan hat 3 *not-a-virus* Riskware-Dateien gefunden, 2 noch seit 03.03.05 und 1 neue:

C:\WINNT\system32\Tools\Restart.exe
C:\WINNT\Downloaded Program Files\imloader.exe
C:\RECYCLER\S-1-5-21-1390067357-1592454029-725345543-1000\Dc12.exe

will ich löschen, sagt mein Compi: Systemdateien, Löschen kann ev. Programme verändern etc.

Hilfe!

könnte das jemand bitte nochmal checken? vielen Dank

@Bibi
im logfile ist nichts besonderes, jedoch lasse diese dateien hier überprüfen
www.malwareupload.com poste anschließend das ergebnis
C:\WINNT\system32\Tools\Restart.exe
C:\WINNT\Downloaded Program Files\imloader.exe
C:\RECYCLER\S-1-5-21-1390067357-1592454029-725345543-1000\Dc12.exe

besonders der erste könnte ein backdoortrojaner sein

chaosman

danke, chaosman, hab ich gemacht und folgende Antworten erhalten:

"Hallo,
Wir haben Ihre Datei imloader.exe überprüft und kamen zu folgendem Ergebnis: Incredimail Downloader, soll Spyware enthalten das Programm"

"Hallo,
Wir haben Ihre Datei Restart.exe überprüft und kamen zu folgendem Ergebnis:
Programm mit Neustartfunktion integriert. Harmlos!"


Wie krieg ich denn jetzt die imloader.exe gelöscht, wenn mir der Compi sagt: Systemdatei, Löschen kann Programme verändern etc.?
(Die Restart.exe DARF ich wohl garnicht löschen, oder?)
Und wie krieg ich die Datei in Recycler gelöscht? Diese konnte ich übrigens nicht zu malwareupload schicken, weil sie entweder zu groß war oder ein Dateityp, den sie nicht prüfen.

Die Dateien im Papierkorb und Downloaded Program Files bekommst Du mit diesem Programm:

Total Commander
weg. Ggf. im abgesicherten Modus.

Einstellungen im Total Commander:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok

Klasse, hab ich runtergeladen und die imloader.exe konnte ich auch löschen.
ABER:
wenn ich die Recycler-Datei löschen will, fragt er ob wirklich gelöscht werden soll, weil: "Datei hat Attribut Versteckt oder System"
Wenn ich die Unterdateien öffne und anzeigen anklicke, steht in allen zwischen Hyroglyphen immer was von IMLOADER *?*
Und wenn ich die Unterdateien lösche, kommen jedesmal NEUE Unterdateien dazu, wie bei Medusa, der 2 neue Köpfe wachsen wenn man ihr einen abschlägt.
?????

und nun hat sich noch ne neue Datei gebildet mit dem orangefarbenen Briefsymbol von Incredimail davor *???*

Mal ein Auszug was unter *anzeigen* bei dieser Datei steht zwischen ellenlangen Zeilen von komischen Zeichen....

, Installatore %s è già in esecuzione.
 Nome file:
Completa installazione %s
  p P X „


  ø
  à   Ð

 x   ä   œ  %s Installer
 Weiter >
 < Zurück
 Abbrechen
 Fortsetzen
 Jetzt fortsetzen
 Später fortsetzen
 Nein
 Ja
 OK
H Bitte warten, solange die Systemkonfiguration überprüft wird...
@ Bitte warten, solange die Dateien extrahiert werden...
T Bitte warten, solange die zu herunterladenden
Dateien überprüft werden...
è Die Installation ist unvollständig.

Wenn Sie die Installation jetzt abbrechen, wird Ihnen vorgeschlagen,
nächstes Mal fortzusetzen, wenn Ihr Computer erneut startet.

Soll die Installation wirklich abgebrochen werden?
l Das Setup ist nicht abgeschlossen.

Wenn Sie jetzt beenden, wird das Programm nicht installiert.
„ Ein Symbol namens "%s"
wurde auf Ihrem Desktop platziert, um Ihnen zu ermöglichen,
die Installation später abzuschließen.
, Ein schwerer Fehler ist aufgetreten.
l Auf Datei %s konnte nicht zugegriffen werden.

Überprüfen Sie Speicherplatz, Berechtigungen usw.
@ Installationsskript-Fehler.

versuchen Sie es wieder.
* Kann das Installationsskript nicht herunterladen.

Stellen Sie sicher, dass Sie mit dem Internet
verbunden sind und versuchen Sie später noch einmal.
œ Datei %s konnte nicht heruntergeladen werden.

Stellen Sie sicher, dass Sie mit dem Internet
verbunden sind und versuchen Sie später noch einmal.
” Internet-Verbindung fehlgeschlagen.

Stellen Sie sicher, dass Sie mit dem Internet
verbunden sind und versuchen Sie später noch einmal.
l Die Installation von %s wird jetzt abgeschlossen.
Klicken Sie auf 'Fortsetzen', um weiterzugehen.
( Fragen Sie mich nicht noch einmal
� Die Installation von %s wurde nicht vollständig abgeschlossen.
Um die Installation abzuschließen, klicken Sie auf 'Jetzt fortsetzen'.
$ %s Installer ist schon aktiv.
 Da