Hallo.

Also als erstes möchte ich anmerken, dass ich sehr wenig Ahnung auf dem Gebiet habe!
Fürchte ich hab mir einen Trojaner eingefangen.
Ad-Aware zeigt mir folgende Datei an, kann sie aber nicht entfernen:
C:\WINDOWS\system32\w?nword.exe


Anti-Vir und Spybot finden gar nichts und ich kann diese Datei auch nicht finden.
Kann mir jemand weiterhelfen??
Vielen Dank schon mal im voraus!

Gruß

Hi,

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Hallo.

vielen Dank erstmal!
hab den Trojaner jetzt mit TrojanWatch wegbekommen, aber weiß nicht, ob ich nicht doch noch andere habe.
Werde nicht schlau aus dem Logfile...
Hier das Logfile:

ogfile of HijackThis v1.99.1
Scan saved at 17:13:42, on 21.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Trojancheck 6\tcguard.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\Name\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {24E8ED5E-5CBC-7E60-9A69-58A7183BC5B7} - C:\WINDOWS\System32\snfvurl.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {626C92B9-2407-5080-2FE2-7595CAD1DFE5} - C:\WINDOWS\System32\smycmblw.dll (file missing)
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O13 - WWW. Prefix: http://ehttp.cc/?
O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de
O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 213.159.117.133
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)
O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Hallo,

Starte den PC im abgesicherten Modus.

Fixe mit HijackThis (scannen, Haken setzen und "fix checked" anklicken):

R3 - Default URLSearchHook is missing

O2 - BHO: (no name) - {24E8ED5E-5CBC-7E60-9A69-58A7183BC5B7} - C:\WINDOWS\System32\snfvurl.dll (file missing)
O2 - BHO: (no name) - {626C92B9-2407-5080-2FE2-7595CAD1DFE5} - C:\WINDOWS\System32\smycmblw.dll (file missing)
O2 - BHO: (no name) - {ED103D9F-3070-4580-AB1E-E5C179C1AE41} - (no file)

O13 - WWW. Prefix: http://ehttp.cc/?

O14 - IERESET.INF: START_PAGE_URL=http://www.hyrican.de

O15 - Trusted Zone: *.skoobidoo.com
O15 - Trusted Zone: *.windupdates.com
O15 - Trusted Zone: *.skoobidoo.com (HKLM)
O15 - Trusted Zone: *.windupdates.com (HKLM)
O15 - Trusted IP range: 213.159.117.133
O15 - ProtocolDefaults: 'http' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone
O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone (HKLM)

O16 - DPF: {00000000-0000-0000-0000-000020030000} - http://www.advnt01.com/dialer/ger_nopop.exe
O16 - DPF: {22222222-2222-2222-2222-222222222222} - file://c:\x.cab
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuit.../ITDetector.cab

Lösche manuell im Windows-Explorer:
c:\x.cab (falls vorhanden)

Scanne mit Spybot S&D.


Führe ferner dies aus:
Lade eScan herunter und scanne das System gemäß dieser Anleitung im abgesicherten Modus (alternativer Downloadlink).
Wichtig: Arbeite die einzelnen Schritte der Anleitung aufmerksam ab. eScan muss ins Verzeichnis c:\bases_x entpackt werden, die Haken müssen so, wie es auf den Bildern zu sehen ist, gesetzt sein.
Speichere außerdem diese Datei mittels Rechtsklick-> "Ziel speichern unter..." auf deiner Festplatte. Führe sie nach dem Scan mit eScan aus (Doppelklick). Danach solltest du die Datei C:\eScan_neu.txt auf deiner Festplatte finden. Den Inhalt dieser Datei postest du dann bitte in diesen Thread.


MfG Haui

Ok, hab jetzt jetzt soweit alles gemacht.
Datei C:\x.cab war nicht vorhanden.
Habe mit Spybot gescannt, war alles ok.

Anschließend hab ich das System mit eScan gemäß der Anleitung im abgesicherten Modus gescannt (hat noch einige befallene Dateien gefunden), konnte allerdings die Datei C:\eScan_neu.txt nicht auf meiner Festplatte finden......

Zitat:

konnte allerdings die Datei C:\eScan_neu.txt nicht auf meiner Festplatte finden......

Du musst die Datei http://www.media-folders.de/user/Haui/Find.bat auf deiner Festplatte speichern (Rechtsklick auf den Link und "Ziel speichern unter..." klicken). Führe diese Datei aus und du wirst eScan_neu.txt direkt auf c: finden