Hallo Leute, anscheinend habe ich mir vor 2 - 3 Tagen den oben genannten Trojaner eingefangen, und versuche nun verzweifelt ihn wieder loszuwerden. Dabei bin ich mit der google Suche auf dieses Forum gestossen und hoffe nun dass mir hier geholfen werden kann. Im Vorfeld bitte ich schonmal um ein wenig Rücksicht, da ich in technischen Sachen nicht sehr bewandert bin und vergleichsweise einfache Sachen (Systemwiederherstellungspunkt setzen, abgesichterten Modus, und was weiss ich nicht noch alles) bei mir unweigerlich zu weiterem googeln oder zu nachfrrage wie das denn geht führen.

Ein Problem ist, das Antivir ihn unter dem oben genannten Namen findet, Norton allerdings unter diesem Namen: Trojan.StartPage. Norton selbst musste ich erstmal deaktivieren, da der Trojaner anscheinend sich in immer neuen Temp dateien manifestiert, die Norton dann in den Quarantäneordner schiebt und so erstens die Rechnerauslastung die ganze Zeit ganz oben ist und zweitens der Quarantäneordner wächst und wächst und bald meine Platte voll gewesen wäre.

Ich versuche mich an den Tipps zu orientieren, die ihr in diesem thread gegeben habt:
http://www.trojaner-board.de/showthr...Drop.Delf.FD.1

dementsprechend bin ich grad noch fleissig dabei die genannten programme runterzuladen, zu installieren und es werden dann die log files folgen, die ihr benötigt, um mir hoffentlich zu helfen.

aber erstmal zu meinem system:
ich nutze windows xp und den IE, ich bin nicht sicher welche daten ihr sonst noch benötigt.

so, jetzt installiere ich erstmal weiter und kann dann hoffentlich bald mit log files aufwarten.


EDIT: so, punkt eins wäre erledigt, eScan wäre runtergeladen, installiert, ins richtige Verzeichnis entpackt und upgedatet.

so, leider erst jetzt, aber ich musste zwischenzeitlich arbeiten:

ich habe wie in dem erwähnten thread einmal escan im abgesicherten modus laufen lassen und aus dem log nach dem wort "infected" gesucht und die einzelnen zeilen kopiert, hier das ergebnis:

005 => File C:\PROGRA~1\GEMEIN~1\CMEII\CMESys.exe infected by "not-a-virus:AdWare.Gator.5017" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with Gator Spyware/Adware ({21FFB6C0-0DA1-11D5-A9D5-00500413153C})! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "Gator Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with 180Solutions Spyware/Adware ({30d02401-6a81-11d0-8274-00c04fd5ae38})! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "180Solutions Spyware/Adware" Virus. Action Taken: No Action Taken.

Sun Apr 03 12:06:15 2005 => System found infected with VX2 Spyware/Adware ({0E5CBF21-D15F-11D0-8301-00AA005B4383})! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "VX2 Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with CMESys Spyware/Adware! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "CMESys Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with gator.com Spyware/Adware! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "gator.com Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => System found infected with VB and VBA Program Settings Spyware/Adware! Action taken: No Action Taken.
Sun Apr 03 12:06:15 2005 => File System Found infected by "VB and VBA Program Settings Spyware/Adware" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:47:23 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Sun Apr 03 12:53:21 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\CMEIIAPI.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:21 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GController.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:21 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GDwldEng.dll infected by "not-a-virus:AdWare.Gator.3124" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:22 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GIocl.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
Sun ASun Apr 03 12:53:22 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:22 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStore.dll infected by "not-a-virus:AdWare.Gator.6051" Virus. Action Taken: No Action Taken.
Sun Apr 03 12:53:22 2005 => File C:\Programme\Gemeinsame Dateien\CMEII\GStoreServer.dll infected by "not-a-virus:AdWare.Gator.5115" Virus. Action Taken: No Action Taken.
Sun Apr 03 13:18:35 2005 => File C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine\Portal\7608242E.TMP infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
Sun Apr 03 14:37:12 2005 => File C:\WINDOWS\Temp\tmp24DE.tmp infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
Sun Apr 03 14:37:58 2005 => File D:\Filme\Norton Internet Security 2005 Deutsch.rar infected by "Trojan-Dropper.Win32.Delf.fd" Virus. Action Taken: No Action Taken.
Sun Apr 03 14:54:19 2005 => ***** Scanning complete. *****

Sun Apr 03 14:54:19 2005 => Total Objects Scanned: 89884
Sun Apr 03 14:54:19 2005 => Total Virus(es) Found: 26
Sun Apr 03 14:54:19 2005 => Total Disinfected Files: 0
Sun Apr 03 14:54:19 2005 => Total Files Renamed: 0
Sun Apr 03 14:54:19 2005 => Total Deleted Objects: 0
Sun Apr 03 14:54:19 2005 => Total Errors: 22
Sun Apr 03 14:54:19 2005 => Time Elapsed: 02:48:07
Sun Apr 03 14:54:19 2005 => Virus Database Date: 2005/04/01
Sun Apr 03 14:54:19 2005 => Virus Database Count: 124236

Sun Apr 03 14:54:19 2005 => Scan Completed.

Edit: mein nächster Schritt wäre jetzt, dieses HijackThis Programm runterzuladen und auszuführen und euch mein log zu präsentieren, das schaffe ich aber erst morgen. aber vielleicht kann ja durch das eScan ergebnis schon was herausgefunden werden?

Lösche den Inhalt folgender Ordner:

C:\Programme\AVPersonal\INFECTED
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine

Lösche den Inhalt folgenden Ordners und dann den Ordner selbst:
C:\Programme\Gemeinsame Dateien\CMEII
C:\PROGRA~1\GEMEIN~1\CMEII

Lade dir Clearprog und lösche damit dine temporären Dateien.

Download von
Adaware: http://www.lavasoftusa.com/german/software/adaware/
und
Spybot: http://www.safer-networking.org/de/spybotsd/index.html

Beide Programme updaten und danach im abgesicherten Modus bei deaktivierter Systemwiederherstellung( http://www.systemwiederherstellung-d...indows-xp.html ) System scannen und gefundene Probleme beheben.
Mit Spybot zusätzlich noch immunisieren.
BTW-o.g. Löschvorgänge auch im abgesicherten Modus bei deaktivierter Systemwiederherstellung durchführen.
Danach neu booten -Systemwiederherstellung anschalten.

Du verwendest 2 Virenscanner.Dir ist bewusst, dass sowas das System ausbremst und zur Instabilität führen kann?

Zitat:

Zitat von cronos

Du verwendest 2 Virenscanner.Dir ist bewusst, dass sowas das System ausbremst und zur Instabilität führen kann?

Den Vorschlägen von cronos kann ich nur beipflichten.

Zu den zwei Antivirenprogrammen: Problematisch ist der Einsatz von zwei (oder mehreren) Hintergrundwächtern (on access). Hier darf nur ein Programm aktiv sein. Der Einsatz von Virenscannern verschiedener Hersteller (on demand) ist bei einer festgestellten Infektion jedoch zu empfehlen. Dadurch wird die Erkennungswahrscheinlichkeit gesteigert.

so, zuallererst einmal vielen dank für eure antworten und für die mühen die ihr euch macht.
jetzt zu den punkten die cronos aufgezählt hat:

----------
Lösche den Inhalt folgender Ordner:

C:\Programme\AVPersonal\INFECTED
C:\Programme\Norton Internet Security\Norton AntiVirus\Quarantine

Lösche den Inhalt folgenden Ordners und dann den Ordner selbst:
C:\Programme\Gemeinsame Dateien\CMEII
C:\PROGRA~1\GEMEIN~1\CMEII
-----------
das habe ich im abgesichterten modus bei deaktivierter systemwiederhestellung gemacht, mit einer ausnahme, den letzten ordner findet er nicht, habs mit der suche versucht, aber den kann ich einfach nicht finden
zudem war in dem ersten genannten ordner sowieso nichts drin was ich hätte löschen können


jetzt wollte ich zum nächsten schritt und mir clearprog runterladen, jedoch weiss ich jetzt nicht ob ich das auch im abgesichterten modus machen soll oder nicht? bzw soll ich das überhaupt machen solange ich diesen letzten ordner oben nicht löschen konnte, da ich ihn nicht gefunden habe?

und zu den zwei virenscannern: ich nutze eigentlich nur antivir, aber die norton firewall konnte ich irgendwie nicht installieren ohne norton antivirus mit zu installieren. der norton antivirus ist deswegen jetzt bei mir erstmal deaktiviert (ich wusste nicht ob das reicht um den komplikationen aus dem weg zu gehen?). aber ich möchte mir sowieso auch eine neue und kostenlose firewall zulegen, dann wird norton mit dem antivirus sowieso runtergeschmissen. aber vielen dank für eure warnungen!

@ Ein-Verzweifelter

Also Clearprog muss nicht unbedingt im abgesicherten Modus durchgeführt werden. Du solltest bei der Reinigung jetzt, aber die Systemwiederherstellung deaktivieren da sonst noch vorhandene Schädlinge in den entsprechenden Ordnern wieder hergestellt werden können. Später solltest Du das Prog von Zeit zu Zeit mal benutzen um die Temp und auch die Temporary Internet Files zu reinigen.
Mit der Firewall lese mal hier damit wird Dein System besser geschützt als mit der PW
Das mit dem Ordner C:\Programme\Gemeinsame Dateien\CMEII ist eigentlich ungewöhlich da es kein Systemordner ist und dadurch auch nicht versteckt sein sollte. Aber vielleicht hast Du ihn auch schon gelöscht ( ist auch kein Virus ist AdWare)

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This