Hi Leute!
Ich hoffe hier kann mir jemand helfen, bin nämlich mit meinem Wissen, das Viren etc. betrifft nicht sehr groß ist, am Ende!
Zunächst einmal habe ich vor nicht einmal einer Stunde ein Update für den MSN-messsenger geladen und installiert, woraufhin mein AntiVir mir 6 Trojanerwarnungen schickte. Ich bearbeitete alle wie immer, mit löschen - wie auch sonst?...
Naja jedenfalls ging der Mist dann damit weiter, dass ich ein paar Dateien wie Cassino.exe oder son Müll auf meinen Desktop geladen bekam, meine standart Internetseite (google.de) auf eine nicht vorhandene Adresse wie in etwa kajdfhkjasdhjahskjhasd.bin verändert wurde und der Rechner immer langsamer wurde.
Ich dacht mir keine Panik sowas haste schonma gehabt, hab mein Antivir update gestartet, welches sich jedoch sogleich wegen eines Fehlers wieder schloss...
Ich also das ANtivir ohne update gestartet, ohne Erfolg... (nach 20 Minuten hing das Teil)
Inzwischen habe ich sämtliche Dateien vom MSN-Messenger gelöscht, meinen Internetcache gelöscht und den Papierkorb geleert.
Jetzt bin ich gerade auf die beiden Prozesse im Taskmanager gestoßen, beide heißen iexplorer.exe und starten sich sobald ich sie abschieße wieder neu... Für kurze Zeit ändert sich dann der Name der Anwendung in Greybind.exe oder surfhopeoption.exe.

Nach beiden Dateien habe ich gesucht und sie gefunden, doch löschen lassen die sich nich so einfach, da die Prozesse ja noch am laufen sind und nicht beendet werden können!

Jetzt hab ich wirklich alles versucht was ging, mein Ad-awareprogy stürzt auch immer nach 5 Minuten ab, also hab ich im ÄInternet gesucht und bin prompt auf dieses Forum gestoßen. Hab mir auch gleich dieses HijackThis geladen und ein Protokoll erstellen lassen.
Sieht folgendermaßen aus:

[edit]
bitte editiere deine links zukünftig, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1


danke
GUA
[/edit]

Hier is noch die Reportdatei vom AntiVir da steht auch der Name vom Trojaner, was wohl hilfreich sein mag! Ich werd auch gleich mal im Internet nach weiterer Hilfe suchen.

21.10.2005,15:08:35 ---------------------------------------------------------
21.10.2005,15:08:35 [INIT] Der AVGuard Service wird gestarted.
21.10.2005,15:08:38 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
21.10.2005,15:08:41 [INFO] Start Filter Device.
21.10.2005,15:08:41 [INIT] AntiVirService Version: 6.32.00.06 AVE Version 6.32.0.6 VDF Version: 6.32.0.54
21.10.2005,15:08:41 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
21.10.2005,16:43:37 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Swizzor.bo!
C:\DOKUME~1\RAZOR\ANWEND~1\SOFTIDLEATOM\SCR OKAY.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,16:43:47 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Swizzor.bo!
C:\DOKUMENTE UND EINSTELLUNGEN\RAZOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\M5ITCP4B\UPDBHO2[1].INT
[INFO] Die Datei wurde gelöscht!
21.10.2005,16:43:55 [WARNUNG] Ist das Trojanische Pferd TR/Swizzor.GF!
C:\DOKUME~1\RAZOR\ANWEND~1\DVDDOW~1\BIKEACIDEXTRABLEH.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,16:44:00 [WARNUNG] Ist das Trojanische Pferd TR/Swizzor.GF!
C:\DOKUMENTE UND EINSTELLUNGEN\RAZOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\M5ITCP4B\UPD_ADMN[1].INT
[INFO] Die Datei wurde gelöscht!
21.10.2005,16:44:04 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Swizzor.cb!
C:\DOKUME~1\RAZOR\ANWEND~1\DVDDOW~1\BOLT FIRST ELSE.EXE
[INFO] Die Datei wurde gelöscht!
21.10.2005,16:44:06 [WARNUNG] Ist das Trojanische Pferd TR/Dldr.Swizzor.cb!
C:\DOKUMENTE UND EINSTELLUNGEN\RAZOR\LOKALE EINSTELLUNGEN\TEMPORARY INTERNET FILES\CONTENT.IE5\M5ITCP4B\KR2[1].INT
21.10.2005,16:46:30 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
21.10.2005,16:46:30 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaaf0861d.
21.10.2005,17:37:21 ---------------------------------------------------------
21.10.2005,17:37:21 [INIT] Der AVGuard Service wird gestarted.
21.10.2005,17:37:25 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
21.10.2005,17:37:27 [INFO] Start Filter Device.
21.10.2005,17:37:27 [INIT] AntiVirService Version: 6.32.00.06 AVE Version 6.32.0.6 VDF Version: 6.32.0.54
21.10.2005,17:37:27 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
21.10.2005,18:30:09 ---------------------------------------------------------
21.10.2005,18:30:09 [INIT] Der AVGuard Service wird gestarted.
21.10.2005,18:30:12 [INIT] Lizenzdatei enthält eine gültige Lizenz. Der AVGuard Dienst läuft als uneingeschränkte Vollversion!
21.10.2005,18:30:15 [INFO] Start Filter Device.
21.10.2005,18:30:15 [INIT] AntiVirService Version: 6.32.00.06 AVE Version 6.32.0.6 VDF Version: 6.32.0.54
21.10.2005,18:30:15 [INIT] Der AVGuard Dienst wurde erfolgreich gestartet!
21.10.2005,19:01:24 [LOGON] Verbindung zu Remote-Computer. Sicherer Kommunikationskanal wird hergestellt.
21.10.2005,19:01:24 [LOGON] Verbindung zu Computer 127.0.0.1 erfolgreich hergestellt. Session ID = 0xaab7b7d7.

Zitat:

[edit]
bitte editiere deine links zukünftig, wie es dir u.a. hier angezeigt wird:

http://www.trojaner-board.de/showpost.php?p=171957&postcount=1




danke
GUA
[/edit]

ah verlesen sry muss da erstmal drübergehn hab von solchem Krams keinen blassen Schimmer... Thx

Logfile of HijackThis v1.99.1
Scan saved at 18:45:16, on 21.10.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\iTunes\iTunesHelper.exe
C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
C:\Programme\PC-Zeit\trap.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
C:\Programme\Logitech\SetPoint\KEM.exe
C:\Programme\Logitech\SetPoint\KHALMNPR.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7Debug\mdm.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\Programme\iPod\bin\iPodService.exe
c:\progra~1\intern~1\iexplore.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\wisptis.exe
D:\Programme\Hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ctvlgzxktdesxecefeoef.com/yYFbZRqvKiMjmYMWcw5n9zeV/aHtWmTlTVSe05jux0znikbSpIcWifVztko78Il2.jpg
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {58C4ED5B-BF92-4326-9409-8F8B11662515} - C:\DOKUME~1\*****\ANWEND~1\SOFTID~1\scr okay.exe (file missing)
O4 - HKLM\..\Run: [nForce Tray Options] sstray.exe /r
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_04\bin\jusched.exe
O4 - HKLM\..\Run: [NetPumper] "C:\NetPumper\NetPumperIEProxy.exe"
O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe"
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\System32\PSDrvCheck.exe
O4 - HKLM\..\Run: [OyES4fH] C:\WINDOWS\ecwkj.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [liesballaxis4] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive junk lies ball\Grid Axis.exe
O4 - HKLM\..\Run: [pczeit] "C:\Programme\PC-Zeit\trap.exe"
O4 - HKLM\..\Run: [mmtask] c:\Program Files\MusicMatch\MusicMatch Jukebox\mmtask.exe
O4 - HKLM\..\Run: [SUPPORTSECTMEALEXTRA] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blehthissupportsect\Greybind.exe
O4 - HKCU\..\Run: [title way] C:\DOKUME~1\razor\ANWEND~1\DVDDOW~1\Surfhopeoption.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Programme\Logitech\SetPoint\KEM.exe
O8 - Extra context menu item: Download with NetPumper - C:\NetPumper\AddUrl.htm
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_04\bin\npjpi150_04.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: eBay - Homepage - {EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A} - C:\Programme\IrfanView\Ebay\Ebay.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe (file missing)
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - h**p://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1098139004937
O16 - DPF: {D7A4D8FB-83F0-40E5-954F-88F48D15AE96} (ICQVideoWindow Class) - h**p://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - h**p://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - h**p://xtraz.icq.com/xtraz/activex/MISBH.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

So ich hoffe ich hab alles editiert was nötig war... Danke nochmal!

Habe gerade in einem anderen Forum einen Eintrag über diesen Trojaner gefunden. Wenn trotzdem jemand einen Rat für mich hat, nehme ich diesen natürlich trotzdem gerne, ansonsten ist mir jetzt wohl erstmal geholfen. Sollte ich Probleme mit den Anweisungen des anderen Forums haben, melde ich mich wieder.
Gruß Razor

Hi...
Ich bekomme kaum bzw. überhaupt keinen Kontakt mehr mit den Internetseiten auf die ich gestern Abend gestoßen bin die mir in Bezug des Trojaners helfen können. Bei dieser Seite kam auch erst die ganze Zeit Pageerror oder sowas nettes...
Kann ich irgendwas dagegen tun? ich brauche Kontakt zu dem andern Forum!!!

Hallo,

welches Forum hast du denn bzgl. deines Problems kontaktiert?

Ansonsten solltest du dies mal lesen:
http://www.trojaner-board.de/showpos...71&postcount=3

Ah ok das erklärt natürlich warum ich auf einige Seiten nicht zugreifen konnte...
Ich suche momentan immernoch nach Hilfe auf Protecus Security Forum, jedoch scheint da niemand meinen Hilferuf zu beachten...
Inzwischen habe ich escan durchlaufen lassen, mit dem Ergebnis von ca 180 total Errors (was auch immer das sein mag) und ca 40 Viren
Wie es scheint werd ich auf denen noch ein Weilchen sitzen bleiben..
Gruß
Razor

Nun du hast LOP aufm Rechner. Der ist mit MessengerPlus3 gekommen.

Gehe in die Systemsteuerung Software und deinstalliere MessengerPlus3 und Power Scan dabei sollte auch LOP entfernt werden.

Wenn Du MessengerPlus3 weiter benutzen willst installiere es erneut aber diesmal ohne "Sponsor" (während der installation wirst Du gefragt.)

Starte HijackThis und fixe diese:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://www.ctvlgzxktdesxecefeoef.com/yYFbZRqvKiMjmYMWcw5n9zeV/aHtWmTlTVSe05jux0znikbSpIcWifVztko78Il2.jpg
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O2 - BHO: (no name) - {58C4ED5B-BF92-4326-9409-8F8B11662515} - C:\DOKUME~1\*****\ANWEND~1\SOFTID~1\scr okay.exe (file missing)
O4 - HKLM\..\Run: [OyES4fH] C:\WINDOWS\ecwkj.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [liesballaxis4] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\drive junk lies ball\Grid Axis.exe
O4 - HKLM\..\Run: [SUPPORTSECTMEALEXTRA] C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\blehthissupportsect\Greybind .exe
O4 - HKCU\..\Run: [title way] C:\DOKUME~1\razor\ANWEND~1\DVDDOW~1\Surfhopeoption .exe