Hallo,habe mir wohl einen Trojaner eingefangen und hoffe sehr, daß mir jemand weiterhelfen kann.
Vorgeschichte:
Mein System:Windows XP
Antivirenprogramm:Antivir
Antivir hat folgendes erkannt:C/Windows/System32/kb32.exe
Habe zunächst bei Antivir die Option "Zugriff verweigern und Datei belassen gewählt und anschließend ins Quarantäneverzeichnis verschoben.
Die Datei heißt jetzt kb.32.exe.vir (wurde wohl von Antivir automatisch umbenannt) und liegt jetzt in C:/Programme/AVPersonal

Problem:
Windows Explorer in C läßt sich nicht öffnen und Desktopsymbole sind verschwunden

Rettungsversuche:
Habe bisher folgendes ohne Erfolg versucht und komme nicht weiter:
Start im abgesicherten Modus,Start von CD,Reparaturinstallation.
Habe nun XP auch auf D Installiert um wenigstens das Antivirusprogramm nocheinmal laufen zu lassen.Antivir hat nichts mehr gefunden.


Es wäre nett, wenn jemand mir ein paar Tips geben könnte, wie ich auf C wieder meinen Explorer und meine Desktopsymbole erhalte sowie diesen Trojaner unschädlich machen kann.

Vielen dank vorab

Ciao

Zitat:

Zitat von Wuppertaler

Hallo,habe mir wohl einen Trojaner eingefangen und hoffe sehr, daß mir jemand weiterhelfen kann.
Vorgeschichte:
Mein System:Windows XP
Antivirenprogramm:Antivir
Antivir hat folgendes erkannt:C/Windows/System32/kb32.exe
Habe zunächst bei Antivir die Option "Zugriff verweigern und Datei belassen gewählt und anschließend ins Quarantäneverzeichnis verschoben.
Die Datei heißt jetzt kb.32.exe.vir (wurde wohl von Antivir automatisch umbenannt) und liegt jetzt in C:/Programme/AVPersonal

Problem:
Windows Explorer in C läßt sich nicht öffnen und Desktopsymbole sind verschwunden

Rettungsversuche:
Habe bisher folgendes ohne Erfolg versucht und komme nicht weiter:
Start im abgesicherten Modus,Start von CD,Reparaturinstallation.
Habe nun XP auch auf D Installiert um wenigstens das Antivirusprogramm nocheinmal laufen zu lassen.Antivir hat nichts mehr gefunden.


Es wäre nett, wenn jemand mir ein paar Tips geben könnte, wie ich auf C wieder meinen Explorer und meine Desktopsymbole erhalte sowie diesen Trojaner unschädlich machen kann.

Vielen dank vorab

Ciao

Hallo,
guck mal da http://www.chip.de/c1_forum/thread.h...hreadid=815997

@ Wuppertaler

erstelle ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, dass das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Hijack This

Hallo riesurf, der Tip der bei Chip gegeben wird funktioniert bei mir leider nicht.

Tip war:
Lösche noch zusätzlich in der Registry den Schlüssel:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\explorer.exe"!!!

Mein Problem:
Normalerweise kommt man ja über Windws Taste und "R" in die Registry.
Das geht bei mir auch nicht mehr, daher kann ich dort auch nichts löschen.
Auch der Startbutton links unten sowie die ganze Leiste sind verschwunden.Auf dem leeren Desktop kann ich zur Zeit gar nichts machen.
Hat noch jemand einen tip für mich?

wenn Dir geholfen werden soll dann musst du auch mit helfen, also poste ein HJT

[QUOTE=Wuppertaler...und Desktopsymbole sind verschwunden

Ciao[/QUOTE]
Icon Cache:
http://www.wintotal.de/Tipps/Eintrag...ID=250&URBID=6
http://www.wintotal.de/Tipps/Eintrag...D=768&URBID=12
und dann HJT

Hallo,habe nun alles so gemacht wie es mir von Gigamail erklärt wurde.Habe den neu angelegten Ordner unter C/Programme gespeichert, obwohl ich über D booten musste.Hier das Ergebnis meines Scans mit Hijack This Log (Ist es nicht komisch, daß hier gar nichts von C erwähnt wird ?).Da ich aber kein Spezialist bin,wäre es nett, wenn jemand(Vielleicht du Gigamail?) das für mich analysieren würde und mir weitere Hinweise geben könnte.Danke vorab.

Ergebnis:
Logfile of HijackThis v1.99.1
Scan saved at 10:30:09, on 24.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\Explorer.EXE
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\AVPersonal\AVGUARD.EXE
D:\Programme\AVPersonal\AVWUPSRV.EXE
D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
D:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe
D:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
D:\Programme\AVPersonal\AVGNT.EXE
D:\WINDOWS\System32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Telekom\T-Sinus 620data\Capictrl.exe
D:\Programme\Microsoft Office\Office10\msoffice.exe
D:\Programme\StarOffice6.0\program\soffice.exe
D:\Programme\Internet Explorer\iexplore.exe
D:\Dokumente und Einstellungen\Bijan Mohyman\Lokale Einstellungen\Temp\Temporäres Verzeichnis 1 für hijackthis.zip\HijackThis.exe

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [routcnf] D:\Programme\Telekom\T-Sinus 620data\routcnf.exe /capiactive
O4 - HKLM\..\Run: [vptray] D:\PROGRA~1\SYMANT~1\SYMANT~1\vptray.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - Startup: StarOffice 6.0.lnk = D:\Programme\StarOffice6.0\program\quickstart.exe
O4 - Global Startup: CAPIControl.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\MSMSGS.EXE
O17 - HKLM\System\CCS\Services\Tcpip\..\{9C439AA7-02C4-4C93-8A87-2186BF66B4BF}: NameServer = 62.104.191.241 62.104.196.134
O20 - Winlogon Notify: NavLogon - D:\WINDOWS\System32\NavLogon.dll
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - D:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - D:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: DefWatch - Symantec Corporation - D:\PROGRA~1\SYMANT~1\SYMANT~1\DefWatch.exe
O23 - Service: Symantec AntiVirus Client (Norton AntiVirus Server) - Symantec Corporation - D:\PROGRA~1\SYMANT~1\SYMANT~1\Rtvscan.exe

Hi,

da Du offensichtlich jetzt zweimal Windows auf Deinem Rechner hast und D als bootfähiges Laufwerk ausgewählt ist, kann man natürlich auch nicht die Prozesse von C sehen. Kannst Du beim booten noch C auswählen, wenn ja dann boote mit C und erstelle ein neues HJT.
Führe aussedem mal einen eScan durch. Halte Dich aber genau an die Anleitung.

Hallo Gigamail,

ich kann zwar über C booten, aber da ich dann den explorer nicht aufrufen kann, kann ich keinen HJT posten.Das geht nur wenn ich über D boote,aber eben wie gesagt mit dem falschen Ergebnis.

Zur Info:
Mittlerweile war es mir möglich über die Bootoption "Abgesicherter Modus mit Eingabeaufforderung" Regedit einzugeben und den folgenden Registry Eintrag zu löschen:
HKEY_LOCAL_MACHINE/SOFTWARE/MICROSOFT/WINDOS NT/CURRENT VERSION/IMAGE FILE EXECUTION OPTIONS/EXPLORER.EXE
Nach anschließenden Booten über C leider unveränderte Situation.

Weitere Vorgehensweise:
1.Da ich recht unerfahren bin, würde ich gerne wissen wie der von dir angesprochene EScan funktioniert.
2.Hast du noch eine weitere idee wie ich den HJT für C posten könnte ?

Danke vorab

Lade den Total Commander auf das Desktop, mit dem kannst Du dann genauso navigieren wie mit dem Explorer.
Hier die Hilfe für eScan, damit alles so funktioniert wie beschrieben sollte der eScan auf c:\ laufen

Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "C:\bases_x" . Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung .Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus (Haken setzen bei All Local Drives und All Scan Files).Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - das geht so:

Mittels Rechtsklick --> "Ziel speichern unter..." diese Datei runterladen und ausführen. Dann einfach den Inhalt der c:\eScan_neu.txt hier posten.Funktioniert nur, wenn du eScan gemäß der Anleitung ausführst!
(Zitat: Haui45)