Hallo Leute,

habe folgendes Problem: Ich hab mir vor einiger Zeit mal nen bösen Troijaner eingefangen und ihn auch runter bekommen (dachte ich). Der hat u.a. im IE ne neue Toolbar erstellt und Registry verändert - aber ist jetzt schon wieder weg...

Allerdings hab ich, wenn ich den IE aufmache jetzt AB UND ZU (nicht immer) ne Meldung von meinem Antivir: Datei blablabla(immer anderer Dateiname) im Verzeichnis: F:/Win98/Temporary Internet Files/(immer anderer Verzeichnisname)/(dateiname).exe enthält den Trojaner: TR/(irgendwas) das ist komischerweise immer anders. Dann lösch ich den so und dann is er wieder da in einer anderen Datei in dem Ordner, jedoch finde ich die Datei nie im Teporary internet files ordner, weder über Arbeitsplatz, noch über Explorer.

Da mir das zu viel wurde, hab ich jetzt Firefox installiert. Jetzt zeigt mir mein Antivir AB UND ZU beim Starten von Firefox das gleiche an, nur, dass der Troijaner jetzt nicht im Temporary Internet Files Ordner, sondern im Win98/System Ordner ist, die Datei, die angezeigt wird, finde ich jedoch auch nie...

Wenn ich AntiVir so normal drüber laufen lasse, meckert er nur, dass die win386.swp unzugreifbar is (oder sowas), aber da das ja die Auslagerungsdatei von Windows is, is das normal.

Ab und zu kommt rechtsunten neben der Uhr in der Leiste so ein kleiner gelber Baloon mit dem Text:

Your Virus Protection system is bad
Your Computer might be infected by spyware

Klick here to learn how to get rid of spyware.


Wenn ich das mache, komm ich in so ne Datei, die aussieht, wie die Windowshilfe, da steht aber nix drin...

Was is das alles? :/ Wie bekomm ich das Scheißteil wieder los? Übrigens: Hab Windows 98 -.-

Gruß

Simon

Hallo, Cardo!

Poste doch mal ein HJT Logfile nach Anleitung von Cidre
http://www.trojaner-board.de/showthread.php?t=17493
Dann sehen wir weiter
CU, stupormundi

So, hier das logfile. Da man keine .log Dateien heir hochladen kann, hab ichs mal als .txt gespeichert.

Hallo, cardo!

Zitat:

So, hier das logfile. Da man keine .log Dateien heir hochladen kann, hab ichs mal als .txt gespeichert.

doch, kannst Du schon! Einfach copy und paste - einfach im Logfile markieren - kopieren - und hier im thread einfügen. Das ist für uns alle einfacher
Bis denn, stupormundi

^^ The lazy man's way


Logfile of HijackThis v1.99.1
Scan saved at 14:11:53, on 06.09.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
F:\WIN98\SYSTEM\KERNEL32.DLL
F:\WIN98\SYSTEM\MSGSRV32.EXE
F:\WIN98\SYSTEM\MPREXE.EXE
F:\WIN98\SYSTEM\mmtask.tsk
F:\WIN98\SYSTEM\MSTASK.EXE
F:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
F:\WIN98\EXPLORER.EXE
F:\WIN98\TASKMON.EXE
F:\WIN98\SYSTEM\SYSTRAY.EXE
F:\WIN98\SYSTEM\DESK98.EXE
F:\WIN98\SYSTEM\ATIPTAXX.EXE
F:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
F:\WIN98\MIXER.EXE
F:\PROGRAMME\ICQ\ICQ.EXE
F:\WIN98\SYSTEM\SPOOL32.EXE
F:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE
F:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WIN98\TEMP\se.dll/space.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WIN98\TEMP\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O2 - BHO: (no name) - {BBE8E9A1-1A8F-11DA-B410-000667B0E687} - F:\WIN98\SYSTEM\LDOB.DLL (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WIN98\SYSTEM\MSDXM.OCX
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ScanRegistry] F:\WIN98\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] F:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk98.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AOLDialer] F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\WIN98\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [IP Changer 2.0] "F:\WIN98\DESKTOP\IPCHANGER\IPCHANGER.exe"
O4 - HKLM\..\Run: [ControlPanel] F:\WIN98\SYSTEM\popcorn72.exe rundll.dll,LoadMouseProfile
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "F:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - HKCU\..\Run: [WareOut] "F:\Programme\WareOut\WareOut.exe"
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = F:\Programme\AOL 9.0a\aoltray.exe
O4 - Startup: Monitor Apache Servers.lnk = E:\Apache Group\Apache2\bin\ApacheMonitor.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WIN98\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WIN98\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - F:\WIN98\SYSTEM\Shdocvw.dll
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - F:\Programme\WareOut\WareOut.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - F:\Programme\WareOut\WareOut.exe (file missing) (HKCU)
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edge...oadManager.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.161.132,85.255.112.15
O18 - Filter: text/html - {BBE8E9A0-1A8F-11DA-B410-000608FC431C} - F:\WIN98\SYSTEM\LDOB.DLL
O18 - Filter: text/plain - {BBE8E9A0-1A8F-11DA-B410-000608FC431C} - F:\WIN98\SYSTEM\LDOB.DLL




thx schonmal ^^

gut..

fangen wir doch mal damit an, was für einträge gefixt werden sollten:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WIN98\TEMP\se.dll/space.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://F:\WIN98\TEMP\se.dll/space.html
O2 - BHO: (no name) - {BBE8E9A1-1A8F-11DA-B410-000667B0E687} - F:\WIN98\SYSTEM\LDOB.DLL (file missing)
O2 - BHO: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - (no file)
O4 - HKLM\..\Run: [ControlPanel] F:\WIN98\SYSTEM\popcorn72.exe rundll.dll,LoadMouseProfile
O4 - HKCU\..\Run: [WareOut] "F:\Programme\WareOut\WareOut.exe"
O9 - Extra button: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - F:\Programme\WareOut\WareOut.exe (file missing) (HKCU)
O9 - Extra 'Tools' menuitem: Start spyware remover - {BF69DF00-2734-477F-8257-27CD04F88779} - F:\Programme\WareOut\WareOut.exe (file missing) (HKCU)
O16 - DPF: {3EB4F9EA-51A6-48DA-846A-0D69DCBA39EF} (DownloadManager Control) - http://download.akamaitools.com.edge...E_1070/Downloa dManager.cab
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 69.50.161.132,85.255.112.15
O18 - Filter: text/html - {BBE8E9A0-1A8F-11DA-B410-000608FC431C} - F:\WIN98\SYSTEM\LDOB.DLL
O18 - Filter: text/plain - {BBE8E9A0-1A8F-11DA-B410-000608FC431C} - F:\WIN98\SYSTEM\LDOB.DLL

lösche diese dateien und ordner im abgesicherten modus:
F:\Programme\WareOut\
F:\WIN98\SYSTEM\LDOB.DLL (falls vorhanden)
F:\WIN98\SYSTEM\popcorn72.exe
F:\WIN98\TEMP\se.dll (falls vorhanden)

falls dateien nicht angezeigt werden:
Ansicht -> Ordneroptionen -> Ansicht
Alle Dateien und ordner anzeigen selektieren -> Übernehmen -> OK

führe eScan gemäß der Anleitung aus.

So, hab die Dateien gelöscht und mit HijackThis bereinigt. Hier is neues Logfile:

Logfile of HijackThis v1.99.1
Scan saved at 16:28:54, on 06.09.05
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v5.50 (5.50.4134.0600)

Running processes:
F:\WIN98\SYSTEM\KERNEL32.DLL
F:\WIN98\SYSTEM\MSGSRV32.EXE
F:\WIN98\SYSTEM\SPOOL32.EXE
F:\WIN98\SYSTEM\MPREXE.EXE
F:\WIN98\SYSTEM\MSTASK.EXE
F:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE
F:\WIN98\SYSTEM\mmtask.tsk
F:\WIN98\EXPLORER.EXE
F:\WIN98\TASKMON.EXE
F:\WIN98\SYSTEM\SYSTRAY.EXE
F:\WIN98\SYSTEM\DESK98.EXE
F:\WIN98\SYSTEM\ATIPTAXX.EXE
F:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
F:\WIN98\MIXER.EXE
F:\HIJACKTHIS\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
O3 - Toolbar: @msdxmLC.dll,-1@1033,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - F:\WIN98\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [ScanRegistry] F:\WIN98\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] F:\WIN98\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [HydarVisionDesktopManager] desk98.exe
O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe
O4 - HKLM\..\Run: [AVGCtrl] F:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [AOLDialer] F:\Programme\Gemeinsame Dateien\AOL\ACS\AOLDial.exe
O4 - HKLM\..\Run: [QuickTime Task] "F:\WIN98\SYSTEM\QTTASK.EXE" -atboottime
O4 - HKLM\..\Run: [IP Changer 2.0] "F:\WIN98\DESKTOP\IPCHANGER\IPCHANGER.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [AolAcsDaemon1] "F:\PROGRAMME\GEMEINSAME DATEIEN\AOL\ACS\AOLACSD.EXE"
O4 - Startup: AOL 9.0 Tray-Symbol.lnk = F:\Programme\AOL 9.0a\aoltray.exe
O4 - Startup: Monitor Apache Servers.lnk = E:\Apache Group\Apache2\bin\ApacheMonitor.exe
O4 - Startup: Adobe Gamma Loader.exe.lnk = F:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O9 - Extra button: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - F:\Programme\ICQ\ICQ.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: MSN Messenger Service - {FB5F1910-F110-11d2-BB9E-00C04F795683} - F:\Programme\Messenger\MSMSGS.EXE
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WIN98\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - F:\WIN98\web\related.htm
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - F:\WIN98\SYSTEM\Shdocvw.dll
O16 - DPF: {D719897A-B07A-4C0C-AEA9-9B663A28DFCB} (iTunesDetector Class) - http://ax.phobos.apple.com.edgesuite...ITDetector.cab
O16 - DPF: {4A3CF76B-EC7A-405D-A67D-8DC6B52AB35B} (QDiagAOLCCUpdateObj Class) - http://aolcc.aol.de/computercheckup/qdiagcc.cab



Das eScan stürzt bei 32448 Dateien immer ab. Da hat es genau 3 von 4 Partitionen gescannt. Bis dahin zeigt es mir 8 Funde an...bekomme natürlich auch kein Logfile, da das Programm abschmiert...woran liegt das? :/ Festplatte zu groß? (40 GB) Sind 512 MB Ram zu wenig?

Gruß
Cardo

Hmm, bekomm immer noch Virus meldungen...was soll ich nur machen ?