Hallo ich heiße franzi!

Ich habe seit 6 Tagen eine Trojanisches Pferd auf den Pc und mein Antivir meldet sich immer wieder . Ich habe mir semtliches Zeug installiert um das ding weg zu bekommen erst gestern das ARNTNS programm aber der findet den nicht . Habe eben gerade wieder 3 meldungen bekommen .

Der Heißt Trojanisches Pferd TR/D/DR.VB.FT.5

kann mir jemand helfen

danke

Hallo,

wo findet AntiVir den Schädling genau (z.B. C:\Windowsd\System32\abcd.exe)?

Überprüfe die Datei bei http://virusscan.jotti.org/de und poste das Ergebnis.
Poste außerdem ein HijackThis-Logfile.

28.08.2005,13:58:52 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ARI3098X\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
28.08.2005,13:59:14 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ARI3098X\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.
28.08.2005,14:15:18 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.VB.FT.5!
C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\ARI3098X\ABOXINST_INT12[1].EXE

das ist erst mal der report aus meinen antivier

Starte den PC im abgesicherten Modus und leere den Cache des Internet Explorers, entweder manuell oder mit www.clearprog.de
Verwende in Zukunft einen alternativen Browser.

habe jetzt meinen pc mit den abgesichtern modus gemacht und das gelöscht


hier ist das programm was ich mir instalieren sollte und was er scannt hat

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Muiltmedia keyboard utility\2.2D\KbdAp32A.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Yahoo!\Messenger\YPAGER.EXE
C:\Programme\HbTools\Bin\4.7.0.0\HbtSrv.exe
C:\Dokumente und Einstellungen\danny\Eigene Dateien\HijackThis.exe

Das Log ist nicht komplett, es fehlen der erste und der letzte Teil.

Logfile of HijackThis v1.99.1
Scan saved at 15:03:20, on 28.08.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\Muiltmedia keyboard utility\2.2D\KbdAp32A.exe
C:\Programme\Real\RealPlayer\RealPlay.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\Nikon\PictureProject\NkbMonitor.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\Programme\Yahoo!\Messenger\YPAGER.EXE
C:\Programme\HbTools\Bin\4.7.0.0\HbtSrv.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\IncrediMail\bin\IncMail.exe
C:\Dokumente und Einstellungen\danny\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://google.icq.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.hyrican.de
O2 - BHO: Yahoo! Companion BHO - {02478D38-C3F9-4efb-9B51-7695ECA05670} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Programme\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Starware - {CA356D79-679B-4b4c-8E49-5AF97014F4C1} - C:\Programme\Starware\bin\Starware.dll
O3 - Toolbar: Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\ycomp5_5_7_0.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Apps\MSN Toolbar\01.02.4000.1001\de\msntb.dll
O3 - Toolbar: Starware - {D49E9D35-254C-4c6a-9D17-95018D228FF5} - C:\Programme\Starware\bin\Starware.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.7.0.0\HbtHostIE.dll
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Muiltmedia keyboard utility\2.2D\MMKEYBD.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [RealTray] C:\Programme\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [fzseagju] C:\WINDOWS\system32\dowdjugs.exe
O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKCU\..\Run: [Yahoo! Pager] C:\Programme\Yahoo!\Messenger\ypager.exe -quiet
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Programme\Nikon\PictureProject\NkbMonitor.exe
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Programme\ICQToolbar\toolbaru.dll/SEARCH.HTML
O9 - Extra button: ShopperReports - Compare travel rates - {946B3E9E-E21A-49c8-9F63-900533FAFE14} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://h**p://dm.screensavers.com/dm...sinstaller.cab
O16 - DPF: {9A54032D-31F7-400D-B184-83B33BDE65FA} (MSN File Upload Control) - http://h**p://sc.groups.msn.com/cont...UC/MsnUpld.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://h**p//messenger.msn.com/downl...Downloader.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - h**p://install.download-url.de/InstallationsAssistent.ocx[/url]
O17 - HKLM\System\CCS\Services\Tcpip\..\{E87DB1A9-6361-49AB-8D07-DC9CF52CFC04}: NameServer = 217.237.149.225 217.237.151.97
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

@franzi
Bitte mach alle Links in deinem Posting inaktiv (z.B. h**p statt http)
Deinstalliere über Systemsteuerung/Software:

Zitat:

C:\Programme\ShopperReports
C:\Programme\HbTools

Lösche die Datei

Zitat:

C:\WINDOWS\system32\dowdjugs.exe

Fixe diese alle Einträge

Zitat:

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://h**p://as.starware.com/dp/sea...QKHFdeA96rWxGZ
R3 - Default URLSearchHook is missing
O2 - BHO: ShprRprts - {2A8A997F-BB9F-48F6-AA2B-2762D50F9289} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O2 - BHO: HbTools - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.7.0.0\HbtHostIE.dll
O3 - Toolbar: H&otbar - {74CC49F7-EB32-4A08-B204-948962A6E3DB} - C:\Programme\HbTools\Bin\4.7.0.0\HbtHostIE.dll
O4 - HKLM\..\Run: [HbTools] C:\Programme\HbTools\Bin\4.7.0.0\HbtOEAddOn.exe
O4 - HKLM\..\Run: [fzseagju] C:\WINDOWS\system32\dowdjugs.exe
O9 - Extra button: ShopperReports - Compare product prices - {E77EDA01-3C56-4a96-8D08-02B42891C169} - C:\Programme\ShopperReports\Bin\1.0.8.0\ShprRprt.dll
O14 - IERESET.INF: START_PAGE_URL=h**p://www.hyrican.de
O16 - DPF: {88D758A3-D33B-45FD-91E3-67749B4057FA} (Sinstaller Class) - http://h**p://dm.screensavers.com/dm...sinstaller.cab
O16 - DPF: {F0BC061F-DAF9-4533-8011-53BCB4C10307} (Installations Assistent) - http://h**p://install.download-url.d...sAssistent.ocx

Habe die Dateien gelöscht .

Aber das antivir hat sich gerade wieder gemeldet bevor ich die dateien gelöscht habe .

Meine frage was bedeutet das Fixe unten und die dateien die da stehen
soll ich das im edit löschen?

@franzi

Zitat:

Aber das antivir hat sich gerade wieder gemeldet bevor ich die dateien gelöscht habe .

Was hast du von im gesagt gekriegt?

Zitat:

Meine frage was bedeutet das Fixe unten und die dateien die da stehen
soll ich das im edit löschen?

Hast du die Anleitung zum HJT gelesen? http://www.trojaner-board.de/showthread.php?t=17493

C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\SG155L59\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Zitat:

Zitat von franzi

C:\DOKUMENTE UND EINSTELLUNGEN\DANNY\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\SG155L59\ABOXINST_INT12[1].EXE
[FEHLER] Die Datei konnte nicht gelöscht werden!
0x00000020 - Der Prozess kann nicht auf die Datei zugreifen, da sie von einem anderen Prozess verwendet wird.

Hat Haui45 den Posting in Japanisch erfasst ? : http://www.trojaner-board.de/showpos...17&postcount=4
IE muss dabei geschloßen bleiben.

habe den mozila Firefox instaliert .

und das gefixt was da alles stand

danke euch hofe das der trojaner nicht mehr kommt .