So ich hab mich in diesem Forum angemeldet, da es mir recht kompetent erscheint.

Das Problem ist folgendes: Mein Ewido Security Suite zeigt mir, bei jedem Systemstart an, dass eine datei in C:\Windows\system32 (dieses mal ulvfrj.exe) den oben genannten trojaner enthält, also klicke ich auf säubern 0,2 sek. später das gleiche fenster, ewido security suite kann ihn also nicht entfernen..... soweit so gut ich gehe also in system 32 und versuche die datei manuel zu entfernen nur das problem ist dass ich ihn nicht löschen kann da er von einem anderen programm benutzt wird (Oh Wunder)........

Nochmal zur datei: Sie ändert ihren namen und erstellungs datum bei jedem neustart, sie lässt sich nicht löschen, AnitVir findet sie nicht einmal, ewido security suite kann sie nicht löschen und nicht einmal Killboxermag es diesen schädling zu vernichten.......

kurz mir kommt das kotzen (jaja ich gebs zu ich wollte nur einmal den tollen smiley ausprobieren^^)

Was Kann ich also tun?

Hallo Plöke,

poste bitte ein Hijackthis-Logfile
Editiere bitte alle Links und ev. persönliche Daten.

dartus

Logfile of HijackThis v1.99.1
Scan saved at 12:06:41, on 23.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Ad Muncher\AdMunch.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\ewido\security suite\ewidoctrl.exe
C:\Programme\ewido\security suite\ewidoguard.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
C:\WINDOWS\system32\aqeoyq.exe
C:\Programme\ewido\security suite\securitysuite.exe
C:\Dokumente und Einstellungen\************\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: LANBridge Class - {71D1708F-973D-4600-AF01-AD86688403AE} - C:\WINDOWS\system32\zcopwhap.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg
O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600"
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Automatisch EPSON Stylus CX3600 Series auf HENDRIK] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P50 "Automatisch EPSON Stylus CX3600 Series auf HENDRIK" /O17 "\\HENDRIK\Drucker" /M "Stylus CX3600"
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [Ad Muncher] C:\Programme\Ad Muncher\AdMunch.exe /bt
O4 - HKLM\..\Run: [sxknnlg] C:\WINDOWS\system32\aqeoyq.exe r
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart
O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{8EA3CDF0-9DA1-47A9-B00D-797B4182711A}: NameServer = 217.237.150.33 217.237.151.161
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe
O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe
O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)







So...... ich hoffe jetzt einfach mal dass ich alles richtig gemacht habe.

Was ich recht interessant finde ist dass e-mule und bear share noch angezeigt werden obwohl ich sie erst neulich deinstalliert habe.... naja egal.

Ps.: Der nette trojaner nennt sich jetzt amuhdq.exe.... und jetzt szstamh.exe..... und jetzt tpiucmr.exe.... und jetzt wfvwvuv.exe... und jetzt... und jetzt.... usw.

[/Edit]das ganze hat sich jetzt 34 (!!!) mal wiederholt! bis der ewido security suite anscheinend aufgegeben hat....... oh gott es fängt wieder an, aber jetzt mit dem unteschied dass er sich anscheinend für den namen obdzayl.exe entschieden hat.... [/Edit]

Hallo Plöke,

das sollte Dein aktuelles Problem beheben:
http://forum.hijackthis.de/showthread.php?t=3172

Verzichte zukünftig auf filesharing wie emule und Bearshare und deinstalliere die Programme.

Verwende nur einen Antivir-Hintergrundwächter. Mehrere schaden eher als sie nützen und bremsen das System aus.

dartus

Hm.... das mir, von dir empfohlene Programm scheint wirklich zu funktioneren -an dieser Stelle ein herzliches Dankeschön an deine Person - und zu den Filesharingprogrammen diese Virenschleudern habe ich seit dem auftauchen, der ersten Schädlinge von meinem Pc verbannt.^^

Hallo,

Zitat:

und zu den Filesharingprogrammen diese Virenschleudern habe ich seit dem auftauchen, der ersten Schädlinge von meinem Pc verbannt

Dann solltest Du noch diese beiden Einträge unter "04" sowie:

O2 - BHO: LANBridge Class - {71D1708F-973D-4600-AF01-AD86688403AE} - C:\WINDOWS\system32\zcopwhap.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

mit HijackThis fixen.

Hier findest Du noch Lesenswertes, insbesondere die “12 Punkte”.

dartus

Diese einträge gehöhren mittlerweile, auch der Geschichte an...... an dieser Stelle möchte ich dir auch noch ein weiteres mal danken.