|
Plagegeister aller Art und deren Bekämpfung: Trojan.w32.topantispyware.hWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
18.03.2005, 09:49 | #1 |
| Trojan.w32.topantispyware.h Moin ich hab da ein Problem welches ich nicht beseitigt bekomme, Es heißt Trojan.w32.topantispyware.h und die datei dazu srpcsrv32.dll Ich kann ihn nicht löschen und auch nicht desinfizieren!!! Ich benutze dazu gdata vierenschutz von aol Spybot adaware und spyblaster vielen dank für eure hilfe im vorraus |
18.03.2005, 10:45 | #2 |
| Trojan.w32.topantispyware.h Hi,
__________________mach mal einen eScan Haken setzen bei "All Local Drives und Scan All Files" nach Beschreibung entpacken Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. --> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: => Total Files Scanned: => Total Virus(es) Found: => Total Disinfected Files: => Total Files Renamed: => Total Deleted Files: => Total Errors: => Time Elapsed: => Virus Database Date: => Virus Database Count: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** --> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)
__________________ |
18.03.2005, 14:22 | #3 |
| Trojan.w32.topantispyware.h Fri Mar 18 12:40:33 2005 => ***** Scanning complete. *****
__________________Fri Mar 18 12:40:33 2005 => Total Files Scanned: 64384 Fri Mar 18 12:40:33 2005 => Total Virus(es) Found: 19 Fri Mar 18 12:40:33 2005 => Total Disinfected Files: 0 Fri Mar 18 12:40:33 2005 => Total Files Renamed: 0 Fri Mar 18 12:40:33 2005 => Total Deleted Files: 0 Fri Mar 18 12:40:33 2005 => Total Errors: 15 Fri Mar 18 12:40:33 2005 => Time Elapsed: 01:35:11 Fri Mar 18 12:40:33 2005 => Virus Database Date: 2005/03/17 Fri Mar 18 12:40:33 2005 => Virus Database Count: 122324 Fri Mar 18 12:40:33 2005 => Scan Completed. Fri Mar 18 14:04:47 2005 => Virus Database Date: 2005/03/17 Fri Mar 18 14:04:47 2005 => Virus Database Count: 122324 Fri Mar 18 14:04:53 2005 => AV Library Unloaded (3)... mwxface.log [msvLclnt.dll] [0x00000384] 18/03/2005 11:03:54:252 :ModuleName = C:\bases\mwavscan.com [msvLclnt.dll] [0x00000384] 18/03/2005 11:03:54:252 :Registry Key Deleted Properly!!! [msvLclnt.dll] [0x00000384] 18/03/2005 11:03:57:967 :Options Set by External applications mwavscan.com are 9896960 (0x970400): [msvLclnt.dll] [0x00000384] 18/03/2005 11:03:57:967 :Mode :PACKED,ARCHIVED,CA,WARNINGS,MAILPLAIN [msvLclnt.dll] [0x00000384] 18/03/2005 11:03:57:967 :TimeOut : ffffffff [msvLclnt.dll] [0x00000384] 18/03/2005 11:03:57:967 :Priority : NORMAL [msvLclnt.dll] [0x00000384] 18/03/2005 11:04:00:150 :VirusCount = 122324 Latest Date = 2005/03/17 [msvLclnt.dll] [0x0000042c] 18/03/2005 11:05:11:122 :[00000001] File C:\WINNT\System32\spoolsrv32.exe infected by Trojan.Win32.TopAntiSpyware.h [msvLclnt.dll] [0x0000042c] 18/03/2005 11:08:52:601 :[00000001] File C:\WINNT\System32\srpcsrv32.dll infected by Trojan.Win32.TopAntiSpyware.h [msvLclnt.dll] [0x0000042c] 18/03/2005 11:14:18:469 :[00000001] File D:\EIGENE~1\NEUERO~3\TEMPOR~1\Content.IE5\KPGLUBYX\$file[1] infected by Trojan-Dropper.Win32.Small.uy [msvLclnt.dll] [0x0000042c] 18/03/2005 11:26:06:487 :[00000001] File C:\Programme\Gemeinsame Dateien\aolback\comp01.000 infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x0000042c] 18/03/2005 11:37:07:959 :[00000001] File C:\System Volume Information\_restore{4771BDD5-AE32-4679-85C6-770C7D1FC7F8}\RP40\A0009615.dll infected by Trojan-Downloader.Win32.Agent.kf [msvLclnt.dll] [0x0000042c] 18/03/2005 11:37:10:662 :[00000001] File C:\System Volume Information\_restore{4771BDD5-AE32-4679-85C6-770C7D1FC7F8}\RP40\A0009720.exe infected by Trojan-Dropper.Win32.Small.uy [msvLclnt.dll] [0x0000042c] 18/03/2005 11:51:20:464 :[00000001] File C:\WINNT\system32\srpcsrv32.dll infected by Trojan.Win32.TopAntiSpyware.h [msvLclnt.dll] [0x0000042c] 18/03/2005 11:52:53:017 :[00000001] File D:\Eigene Dateien\backup-20050310-193436-846.dll infected by not-a-virus:AdWare.ToolBar.MyWay.g [msvLclnt.dll] [0x0000042c] 18/03/2005 12:06:37:162 :[00000001] File D:\Eigene Dateien\neu\aol.9.0.exe infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x0000042c] 18/03/2005 12:08:43:424 :[00000001] File D:\Eigene Dateien\Neuer Ordner (2)\Temporary Internet Files\Content.IE5\KPGLUBYX\$file[1] infected by Trojan-Dropper.Win32.Small.uy [msvLclnt.dll] [0x0000042c] 18/03/2005 12:24:35:443 :[00000001] File D:\Programme\AOL 9.0\download\toe.exe infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:09:983 :[00000001] File D:\Programme\AOL 9.0\Jiti\Jiti_mm.exe infected by not-a-virus:Tool.Win32.Reboot [msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:30:813 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12556345.asw infected by not-a-virus:AdWare.Altnet.b [msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:30:893 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12556585.asw infected by not-a-virus:AdWare.Altnet.b [msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:30:943 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12556785.asw infected by not-a-virus:AdWare.Altnet.b [msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:31:033 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12557106.asw infected by not-a-virus:AdWare.Altnet.b [msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:31:123 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12557486.asw infected by not-a-virus:AdWare.Altnet.b [msvLclnt.dll] [0x0000042c] 18/03/2005 12:25:31:323 :[00000001] File D:\Programme\AOL Privacy Protection\Backup\12557747.asw infected by not-a-virus:AdWare.Altnet.b [msvLclnt.dll] [0x0000042c] 18/03/2005 12:37:35:294 :[00000001] File D:\Programme\RealVNC\VNC4\wm_hooks.dll infected by not-a-virus:RiskWare.RemoteAdmin.WinVNC.4 [msvLclnt.dll] [0x0000042c] 18/03/2005 12:40:33:631 :VirusCount = 122324 Latest Date = 2005/03/17 [msvLclnt.dll] [0x00000384] 18/03/2005 14:04:47:979 :VirusCount = 122324 Latest Date = 2005/03/17 |
18.03.2005, 15:52 | #4 | |
| Trojan.w32.topantispyware.h lade die KillBox und Clearprog Starte Clearprog setze Haken bei allese löschen und ok boote in den abgesicherten Modus und lösche bei deaktivierter Systemwiederherstellung mit der Killbox alle Dateien ausser mit Bezeichnung RiskWare; Win32.Reboot; AdWare.Altnet.b Solltest Du folgende Dateien nicht unbedingt benötigen was warscheinlich der Fall sein wird, dann Backupordner leeren: D:\Programme\AOL Privacy Protection\Backup\12556345.asw lade danach die anderen Dateien in die Killbox (Delete on Reboot anklicken)nach jeder Datei auf das rote Kreuz drücken Wenn Du gefragt wirst "Do you want to reboot?" auf no erst beider letzten auf yes Zitat:
Boote dann neu und erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This |
19.03.2005, 12:44 | #5 |
| Trojan.w32.topantispyware.h Logfile of HijackThis v1.99.1 Scan saved at 12:36:59, on 19.03.2005 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\svchost.exe C:\WINNT\system32\spoolsv.exe C:\WINNT\Explorer.EXE D:\PROGRA~1\A4Tech\Mouse\Amoumain.exe C:\Programme\QuickTime\qttask.exe C:\WINNT\System32\pctspk.exe C:\WINNT\System32\taskswitch.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe C:\WINNT\System32\ctfmon.exe D:\Programme\adobe\Acrobat 6.0\Distillr\acrotray.exe D:\Programme\Teledat\TelFax32.exe D:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe d:\Programme\Virenschutz\AVKService.exe d:\Programme\Virenschutz\AVKWCtl.exe D:\Programme\Microsoft Office\Office\1031\msoffice.exe C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe C:\WINNT\System32\tcpsvcs.exe C:\WINNT\System32\snmp.exe C:\WINNT\System32\svchost.exe C:\WINNT\System32\mqsvc.exe C:\WINNT\System32\mqtgsvc.exe C:\hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.christian-juelich.de/ O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Programme\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file) O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx O4 - HKLM\..\Run: [WheelMouse] d:\PROGRA~1\A4Tech\Mouse\Amoumain.exe O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe O4 - HKLM\..\Run: [MsmqIntCert] regsvr32 /s mqrt.dll O4 - HKLM\..\Run: [CoolSwitch] C:\WINNT\System32\taskswitch.exe O4 - HKLM\..\Run: [AOLDialer] C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_06\bin\jusched.exe O4 - HKLM\..\Run: [MPFExe] D:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINNT\System32\ctfmon.exe O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINNT\System32\spoolsrv32.exe O4 - Global Startup: Acrobat Assistant.lnk = D:\Programme\adobe\Acrobat 6.0\Distillr\acrotray.exe O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Fax.lnk = D:\Programme\Teledat\TelFax32.exe O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINNT\System32\msjava.dll O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINNT\System32\Shdocvw.dll O9 - Extra button: Microsoft AntiSpyware helper - {E0BFC99D-54C9-48AD-BB7A-91FE57021037} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E0BFC99D-54C9-48AD-BB7A-91FE57021037} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {EEF46E5E-5FD9-4B77-9E4E-C7C8E24760CD} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {EEF46E5E-5FD9-4B77-9E4E-C7C8E24760CD} - (no file) (HKCU) O12 - Plugin for .mpg: C:\Programme\Internet Explorer\PLUGINS\npqtplugin3.dll O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/0876beb4...p/RdxIE601.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{F9A6FC88-DFEF-4E71-9802-032B6F859152}: NameServer = 192.168.121.252,192.168.121.253 O23 - Service: Adobe LM Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AOL Connectivity Service (AOL ACS) - America Online, Inc. - C:\Programme\Gemeinsame Dateien\AOL\ACS\AOLAcsd.exe O23 - Service: AOL Privacy Protection Service (AOLService) - Unknown owner - D:\Programme\AOL Privacy Protection\aolserv.exe O23 - Service: AVK Service (AVKService) - Unknown owner - d:\Programme\Virenschutz\AVKService.exe O23 - Service: G DATA Virenschutz Wächter (AVKWCtl) - Unknown owner - d:\Programme\Virenschutz\AVKWCtl.exe O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - D:\PROGRAMME\TELEDAT\de_serv.exe O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Programme\Gemeinsame Dateien\EPSON\EBAPI\SAgent2.exe O23 - Service: McAfee.com Personal Firewall Service (MpfService) - McAfee.com Corporation - D:\PROGRA~1\McAfee.com\PERSON~1\MPFSERVICE.exe |
19.03.2005, 12:49 | #6 |
| Trojan.w32.topantispyware.h ...und dann besuchst du noch mal die Windows-Update-Seite und holst Dir das SP2... ...und dann aktivierst Du auch die Systemwiederherstellung wieder... @gigamail: greetz cacatoa
__________________ --> Trojan.w32.topantispyware.h |
19.03.2005, 13:45 | #7 |
| Trojan.w32.topantispyware.h mein rechner versucht sich immer noch alleine ins internet einzuwählen!! |
19.03.2005, 13:49 | #8 | |
| Trojan.w32.topantispyware.hZitat:
|
19.03.2005, 13:58 | #10 |
| Trojan.w32.topantispyware.h da öffnet sich ein fenster in dem dann Steht The file you uploaded is 0 bytes. It is very likely a firewall or a piece of malware is prohibiting you from uploading this file |
19.03.2005, 14:03 | #11 |
| Trojan.w32.topantispyware.h wie groß ist die Datei wenn Du auf ihr rechte Maustaste und auf Eigenschaften klickst? Frage gibt es sowas auf Deinem Rechner:C:\r.exe |
19.03.2005, 14:09 | #12 |
| Trojan.w32.topantispyware.h 9,50 kb eine datei r.exe wurde zumindest bei der suche nicht gefunden |
19.03.2005, 14:36 | #14 |
| Trojan.w32.topantispyware.h Die datei lässt sich nicht hochladen!!! wie bekomm ich den scheis denn weg? |
19.03.2005, 14:51 | #15 |
| Trojan.w32.topantispyware.h --> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung und fixe mit HJT folgende Einträge: O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file O4 - HKCU\..\RunOnce: [Srv32 spool Service]C:\WINNT\System32\spoolsrv32.exe O9 - Extra button: Microsoft AntiSpyware helper - {E0BFC99D-54C9-48AD-BB7A-91FE57021037} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {E0BFC99D-54C9-48AD-BB7A-91FE57021037} - (no file) (HKCU) O9 - Extra button: Microsoft AntiSpyware helper - {EEF46E5E-5FD9-4B77-9E4E-C7C8E24760CD} - (no file) (HKCU) O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {EEF46E5E-5FD9-4B77-9E4E-C7C8E24760CD} - (no file) (HKCU) lösche von Hand: C:\WINNT\System32\spoolsrv32.exe neu booten neues HJT posten |
Themen zu Trojan.w32.topantispyware.h |
adaware, beseitigt, datei, desinfizieren, gdata, löschen, nicht löschen, problem, schutz, troja |