hallo erstmal

folgendes Problem:

Ich habe mir in den letzten Tagen mehrere Trojaner gefangen.
Unter anderem halt auch den TR/Dldr.Mediket.S.2.

Das war alles kein Problem. Mit Antivir und Spyware Doctor 3 war dich das alles schnell los. Allerdings hatte ich seit ich diesen Trojaner auf meinem Rechner habe ein neues Hintergrundbild. Und zwar ein Fake von nem Windows Blue Screen, der mir sagt, dass ich einen Trojaner auf dem rechner habe. Zusätzlich atte ich unten rechts in meiner Startleiste seitdem eine rotes Ausrufungszeichen wo ab und zu ein Pop Up hochkam das mir sagte ihr Computer ist infiziert. Das ganze war ne Werbekampange von PGGuard oder so, für deren AntiSpyware. Das rote dreieck bin ich losgeworden. Also diese Spyware von PGGuard. Aber den Hintergrund werde ich nicht los, denn in meinen Anzeige Optionen fehlen die Registerkarten!!!!! Nur die Registerkarten für Bildschirmschoner und Eigenschaften sind da. Aber nicht die, wo ich das Design und den Hintergrund ändern kann.

WO SIND DIE HIN UND WIE BEKOMME ICH DIE WIEDER?

Vielen Dank im Vorraus

Urs

Hallo Ursadon

arbeite das hier durch und melde dich danach mit einem aktuellen HJT
http://www.trojaner-board.de/showthread.php?t=17863

danke für den Tipp. Der hat mir auf jeden fall schonmal weitergeholfen.

Ich habe jetzt alle Karteikarten in meiner Anzeige, also in meinen Bildschirmeigenschaften wieder.

Allerdings geht der rote Kreis unten in der Taskleiste mit dem weissen Ausrufezeichen drin nicht weg.
Habe inzwischen rausgefunden wo der lieg und wie die datei heisst:

C:/Windows/System32/intel32.exe

Die sitzt auch im Autostart. Habe ich über Regcleaner gefunden. Aber loeschen alleine geht net. Kommt immer wieder

Das POP Up mit dem "Your Computer is infected! Click here to protect your computer from Spyware / virus Threat" kommt aber immernoch hoch. Und wenn ich drauf klicke, will es zur Seite:

http://www.psguard.com/?aff=1&sub=0

Ich breche natürlich dann sofort ab, bzw bin gar nicht im internet.

Folgendes allerdings:

Als ich die anleitung von euch durchgearbeitet habe, da passiert folgendes bei der Killbox. Ich mache alles wie beschrieben, allerdings wenn ich bei der letzten datei auf JA fürs Rebooten gehe, dann kommt folgende Nachricht:

PendingFileRenameOperations Registy Data has been Removed by External Prozess.

Kann das daran liegen, oder habe ich einfach noch einen virus, trojaner, etc. mehr drauf?

Bin für jede Hilfe dankbar

Urs

hast du wirklich alle beschriebenen Dateien auf deinem Rechner gesucht und wenn vorhanden entfernt? hast du den Virencheck bei Panda durchgeführt? Überprüfe das ganze nochmal und poste dann ein aktuelles HJT. Abschliessend ist da auch noch ein eScan empfohlen führe auch diesen durch und poste das Ergebnis

so habe jetzt nochmal alles gechecked und du hattest recht. Habe einen Fehler gemacht. Die Pfade für die Killbox waren bei mir anders als in der Beschreibung. Hatte nicht expliziet danach gesucht. Habe dann mit der Killbox auchmal die inte32.exe gelscht und das auch erfolgreich. Habe allerdings jetzt noch ein neues Problem: Ich habe den Panda Online Virusscan durchlaufen lassen, der auch tatsächlich 8 weitere infizierte dateien gefunden hat. Nach dem Neustatrt des Rechners wollte ich dann den Scan nochmals durchlaufen lassen, da gings los. Es fehten mir massich Dll`s. Bezihungsweise die fehlten mir nicht, sondern waren beschädigt. Der Internet Explorer war platt, Outlook Express und alles andere was mit internet zu tuhen hat, wie ICQ, AntiVir Updater etc. Ich habe mir dann müselig die DL`s von nem anderen Rechner geholt. Aber mit einer, der entscheidenen, wie ich finde, komme ich nicht weiter. Meine SHLWapi.dll ist kaputt und deswegen bekomme ich bei den oben genannten Programmen folgende Nachricht:

RunDLL32.exe - Einsprungspunkt nicht gefunden
Der Einsprungspunkt "SHRegGetValueW" in der DLL "SHLWapi.dll" kann nicht gefunden werden.

Danach schließen sich die Programme wieder.

Ich habe versucht die Datei aus nem anderen Rechner zu holen und zu üerschreiben, aber das geht nicht, weil die selbst im Abgesicherten Modus immer verwendet wirdvon anderen Programmen.

Um wieder emails abrufen zu koennen und im Internet zu surfen habe ich mir Mozilla und TheBat! Geholt. Aber eine wirkliche Loesung ist das nicht.

Was soll ich tun???

Urs

die Probleme die du beschreibst hatte, so weit ich weiss, noch kein User. Es gab des öffteren Probleme mit der explorer.exe aber die DLL's...

Zitat:

Meine SHLWapi.dll ist kaputt

DLL's kannst du dir von hier downloaden. Versuch diese shlwapi nochmal im abgesicherten Modus umzubennenen und dann die neu Datei einfügen. Ich habe das gerade bei mir versucht und das ging ohne Probleme.
Damit du mit Mozilla jetzt unterwegs bist ist eh besser als mit dem IE du solltest auch beim Mailprogramm umsteigen
http://www.thunderbird-mail.de/thunderbird/
deine eMails kannst du vom Outloock übernehmen. Deinen IE bekommst du so http://www.jasik.de/tipps%20&%20tricks/tipp44.htm
oder so http://www.wintotal.de/Tipps/Eintrag...ID=54&URBID=12
wieder hin

poste mal ein aktuelles HJT

danke für die Hilfe bis hier hin Gigamail.

ich bin auf dem Gebiet Viren Trojanern und Hijackern nicht so bewandelt.

Kann es nicht sein, dass es ich immer noch einer der drei oben genannten handelt?

Habe versucht malden errornuker laufen zu lassen, von der dll seite, wo du mich hinverwiesen hast. aber das kriege ich nicht installiert. Genau aus den gleichen Gründen warum ich auch nicht die anderen Programme installieren konnte. Das braucht anscheined auch die dll.

Also ich habe das mit dem umbennen versucht. Das hat auch geklappt. Habe dann die dll von dlldump runtergeladen und ins system32 kopiert. allerdings haten die da nur die Version 6.0.2900.2180. Ich brauchte allerdings die Version 6.0.2600.0. Nach dem Neustart gabs dann Probleme mit der explorer.exe. Habe das aber beheben koennen. Jetzt bin ich wieder im Windows . Du hast nicht zufällig ne Version 6.0.2600.0 von der shlwapi.dll? Habe auch schon ins dlldump forum gepostet.

habe mal HijackThis durchlaufen lassen:

habe noch nichts geloescht!!!

Hier das ergebnis:

"

Logfile of HijackThis v1.99.1
Scan saved at 20:38:35, on 16.07.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\The Bat!\thebat.exe
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\Dokumente und Einstellungen\visor\Desktop\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe
O2 - BHO: (no name) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - (no file)
O4 - HKLM\..\Run: [ati control panel] atiphexx.exe
O4 - HKLM\..\Run: [EPSON Stylus C45 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S4I3T1.EXE /P23 "EPSON Stylus C45 Series" /O6 "USB002" /M "Stylus C45"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\RunServices: [ati control panel] atiphexx.exe
O4 - HKCU\..\Run: [ati control panel] atiphexx.exe
O8 - Extra context menu item: &Download with &DAP - C:\PROGRA~1\DAP\dapextie.htm
O8 - Extra context menu item: Download &all with DAP - C:\PROGRA~1\DAP\dapextie2.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Run DAP - {669695BC-A811-4A9D-8CDF-BA8C795F261C} - C:\PROGRA~1\DAP\DAP.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1135539821146
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - h**p://www.pandasoftware.com/activescan/as5/asinst.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{D7ABEAB3-79C4-4FB3-91D8-1A0F6BC0760E}: NameServer = 202.84.149.2,202.84.149.17
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

"

wäre klasse wenn du mal nen blick drauf werfen kannst. bin mir da ein bissle unsicher. Guck mir aber gerade mal das board toturia dazu an um für die zukunft dazu zu lernen

Zitat Gigamail:
"Damit du mit Mozilla jetzt unterwegs bist ist eh besser als mit dem IE du solltest auch beim Mailprogramm umsteigen
http://www.thunderbird-mail.de/thunderbird/
deine eMails kannst du vom Outloock übernehmen."

Meinstest du ich sollte von TheBat! als email programm weg, oder hattest du das überlesen?

Urs

Zitat:

O4 - HKLM\..\Run: [ati control panel] atiphexx.exe

--> http://www.sophos.de/virusinfo/analyses/w32rbotbr.html

da das HJT jetzt erst kommt, kann ich dazu auch erst was genaueres sagen, das erste Problem was du hast ist ein Uraltsystem SP2 ist aktuell. Des weiteren hast du Bots auf deinem System, die schleichen sich durch ungepachte Systeme und deshalb mein Rat setze die Kiste neu auf und sichere ab vor dem ersten Gang ins Internet Hilfe zum Neuaufsetzen und anschließende Absicherung
Eine Reperatur mach in so einem Fall keinen Sinn mehr da der Rechner Kompromittert ist lese mal über Kompromittierung

lese auch mal über Botnetze
http://de.wikipedia.org/wiki/Botnet
http://www.heise.de/newsticker/meldung/51689

Hi Gigamail
Das wird ja immer besser:

Formatieren der Festplatte und Neuaufsetzten des Windows steht ausser Frage!!!

Hier mein Problem:

Der Rechner, von dem aus ich schreibe ist ein alter Sony Vaio Laptop. Die orginal Tastatur ist kaputt, ich benutzte eine per USB 1 anzuschließende externe Tastatur. Das Bios hat keine USB Boot unterstützung, folglich fährt die Tastatur erst im Windows hoch.

Das ist aber noch nicht alles. Ich habe kein Disketten und kein CD Laufwerk. Die Windows Version auf meinem Rechner ist Deutsch und jetzt kommt das beste:

Ich sitzte in Bangladesch!!! Ich komm hier weder an die Tastatur, noch an ein bootfähiges, per pcmcia anzuschließendes cd drive ran. Zusätzlich, wenn ich das koennte, hätte ich noch keine deutsche Windows Version, sondern nur englische.

Ich hätte es eigentlich besser wissen müssen! Der rechner ist eigentlich nur am Internet, weil mein Internetrechner den Geist aufgegeben hat und ich seit 4 Wochen auf die Reparatur warte. Und da ich hier Internet mit der Geschwindigkeit von 1Kb/s habe hätte die Service Packs runter zu laden Jahre gedauert.

Du siehst, eine Wahnsinns Story, aber auch ein Debakel!

Meine Frage also: Kann ich untr diesen Umständen noch irgendwas machen, oder sitzte ich fest. Gibt es irgendeine moeglichkeit noch was zu retten?

Danke
Urs

Zitat:

Ich sitzte in Bangladesch!!! Ich komm hier weder an die Tastatur, noch an ein bootfähiges, per pcmcia anzuschließendes cd drive ran.

da hast du wirklich ein Problem, ohne orginal CD kannst du auch die Systemdateien nicht wiederherstellen (shlwapi.dll)

Zitat:

Zusätzlich, wenn ich das koennte, hätte ich noch keine deutsche Windows Version, sondern nur englische.

wäre in deinem Fall aber die bessere Lösung, da bekommst du vielleicht auch SP2
Es nützt dir ja auch nichts wenn du SP2 bestellst CD-Bestellung SP2 wenn du mit der Möhre weiter im Netz bist, denn der holt sich laufend neue Sachen, du bekommst praktisch keine Ruhe und verbreitest ungewollt Malware im Netz.
Tut mir Leid aber ich kann dir nichts anderes sagen als ich schon gepostet habe, es ist für deine Sicherheit und die Sicherheit anderer im Internet

Sry

ok. Dann gebe ich auf.

Koennen sich diese Malwares auch über USB Sticks und externe Festplatten weiter verbreiten? Oder bin ich wenigsten da sicher, wenn ich nur Bilder und worddocs kopiere?

Urs

Zitat:

Koennen sich diese Malwares auch über USB Sticks und externe Festplatten weiter verbreiten?

wenn sie als ausführbare Dateien mit rüber kopiert und ausgeführt werden, dann ja
bei Bildern und Dokumenten sehe ich in deinem Fall keine Gefahr

Hilfe!!!

Beim Antivir Virenscan fand sich ied_s7.cab bzw. TR/Dldr.Mediket.O !

Der Rechner lahmt seitdem im Netz.
Droht irgendwelche Gefahr???

Wie krieg ich das Ding weg?
Mit Antivir gehts nicht weg.

Hab außerdem noch den TR/Dldr.Agent.CB drauf, aber der ist seit Monaten drauf und ich kriegt ihn bisher auch nicht weg... würde ich aber gern.. ;-)

Wer weiß Rat?
Danke!