Hallo

Hab heute ( weil ich dumm bin ) eine zip file geöffnet von nem unbekannten absender.

Jetzt hab ich nen Trojaner namens Win32/killapp oder Killapps.exe auf meinem Comp.
Hab Norton drauf aber der lässt sich nicht mehr updaten und autoprotect auch nicht aktivieren. Außerdem Starte die Fiirewall auch nicht mehr.

Was soll ich machen bzw. ich finde keine lösung.
Hab ihn aus dem system 32 rausgelöscht und im inet noch mal scannen lassen- dann hab ich gedacht er ist weg- aber norton ( 2x neu installiert) und die firewall funktionieren noch immer nicht.

Kann mir jemand helfen- kenn mich leider nicht so gut aus.

lg
Martin

@Martin125
Benutze bitte Board-Suche - bist du schnell geholfen. Wenn nicht:
Bitte Hijackthis herunterladen, nach der Anleitung Scan-Log erstellen, hier posten.
HJT soll aus einem speziell angelegten Ordner ausgeführt werden.
Bitte alle Links im Log deaktivieren (z.B. h**p statt http)
Benutzername unerkennbar machen.

Kannst du damit was anfangen- im Anhang befindet sich das Hijak dings

Hallo Martin125,

in Deinem System ist einiges drauf, was da nicht hingehört.
Führe daher genau nach dieser Anleitung Escan aus und poste wie dort beschrieben das Ergebnis.

dartus

Hallo

Leute ich glaub ich habs geschafft die trojaner zu entfernen.
Hab meinen Norton zum updaten gebracht und der fand einen Trojaner.Tooso.l

Ausserdem war eine Datei mit dem Namen Firewall_anti.exe drauf.

Hab jetzt mit Norton und Housecall6.0 beta noch mal alles gechecht und es funktioniert wieder alles.

Eine Frage hätte ich noch: Am anfang schrieb der virenscanner ich hätte einen trojaner namens W32/Killapp.e dann wars ein Trojaner Bagle dann ein Trojaner Spabot und am schluss als ich norton updaten konnte fand er einen Trojaner Tooso.l als der letztere weg war funktionierte auch das system wieder. Ausserdem löschte ich im abgesicherten Modus einfach die Firewall_anti.exe und .dll Datei. Wieso hat der so viele namen- kann mir das einer erklären?

Wenn nicht - wollte ich euch noch ein großes Lob aussprechen für die raschen und kompetenten Antworten!!! :aplaus:

Kann noch jemand das file durchschauen ob wieder alles halbwegs passt

Logfile of HijackThis v1.99.1
Scan saved at 11:29:19, on 02.06.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
D:\WINDOWS\System32\smss.exe
D:\WINDOWS\system32\winlogon.exe
D:\WINDOWS\system32\services.exe
D:\WINDOWS\system32\lsass.exe
D:\WINDOWS\system32\svchost.exe
D:\WINDOWS\System32\svchost.exe
D:\WINDOWS\system32\spoolsv.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
D:\WINDOWS\Explorer.EXE
D:\Programme\Norton AntiVirus\navapsvc.exe
D:\WINDOWS\system32\nvsvc32.exe
D:\WINDOWS\system32\ZoneLabs\vsmon.exe
D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
D:\WINDOWS\system32\CTHELPER.EXE
D:\WINDOWS\system32\RUNDLL32.EXE
D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe
D:\Programme\Kazaa Lite\clean.kmd
D:\Programme\Zone Labs\ZoneAlarm\zo3nealarm.exe
D:\WINDOWS\system32\ctfmon.exe
D:\Programme\Messenger\msmsgs.exe
D:\Programme\Skype\Phone\Skype.exe
D:\Programme\Mozilla Firefox\firefox.exe
D:\WINDOWS\system32\NOTEPAD.EXE
C:\Hijak\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.****.com/
F2 - REG:system.ini: UserInit=D:\WINDOWS\system32\Userinit.exe
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Programme\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Programme\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] D:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] D:\Programme\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [CTStartup] D:\Programme\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [KAZAA] "D:\Programme\Kazaa Lite\start.exe" "D:\Programme\Kazaa Lite\clean.kmd" /SYSTRAY
O4 - HKLM\..\Run: [NeroFilterCheck] D:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [winshost.exe] D:\WINDOWS\system32\winshost.exe
O4 - HKLM\..\Run: [firewall_anti] D:\WINDOWS\firewall_anti.exe
O4 - HKLM\..\Run: [ccApp] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [ccRegVfy] "D:\Programme\Gemeinsame Dateien\Symantec Shared\ccRegVfy.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "D:\Programme\Zone Labs\ZoneAlarm\zo3nealarm.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "D:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Skype] "D:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [winshost.exe] D:\WINDOWS\system32\winshost.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Programme\Messenger\msmsgs.exe
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://www.****.com/midasa.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall-Kontrolle) - http://a****kamai.net/7/840/537/2004...ll/xscan53.cab
O16 - DPF: {A3009861-330C-4E10-822B-39D16EC8829D} (CRAVOnline Object) - http://www.ravantivirus.com/scan/ravonline.cab
O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe
O23 - Service: Norton AntiVirus Auto-Protect-Dienst (navapsvc) - Symantec Corporation - D:\Programme\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - D:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - D:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WINDOWS\system32\ZoneLabs\vsmon.exe

Hi,

du hast immer noch Schwachstellen im Log, das können aber auch nur noch die Einträge sein, da du ja schon einiges gelöscht hast. Wo ist eigentlich das Ergebnis von eScan

O4 - HKLM\..\Run: [winshost.exe] D:\WINDOWS\system32\winshost.exe
O4 - HKLM\..\Run: [firewall_anti] D:\WINDOWS\firewall_anti.exe
O4 - HKCU\..\Run: [winshost.exe] D:\WINDOWS\system32\winshost.exe

Einträge fixen und falls noch vorhanden die Dateien im abgesicherten Modus löschen