Hi zusammen,

bin absoluter Neuling hier,
weil ich sone Stimmungsmacher mit Namen
"TR\CLICK.VB.LJ.1" mein eigen nenne.

So meldet wenigstens antivir.
Natürlich läßt es sich nicht einfach so löschen,
wär ja kein anständiger Trojaner, vermute ich.

Gibt´s da irgentetwas raffiniertes, um sich endgültig
und dauerhaft von ihm zu trennen????

Wies bei der eigenen Frau ging, das weiß ich, aber
hier steh ich auf´m Schlauch......

THX und LG von grec

Hallo grec,
poste bitte ein HJT logfile, poste auch den Datei und den Pfad wo dieser Trojaner gefunden würde.

chaosman

Hi Chaosmann,

versuche mal Dir den Logfile zu posten.

War mit den Jungs über Ostern weg,
deswegen erst so spät!!
Tschullijung!!

LG Grec

Hallo grec,
bitte nicht mir posten, sondern hier im Thread

chaosman

So,

da will ich ma probieren:

Logfile of HijackThis v1.99.1
Scan saved at 10:00:49, on 18.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FriFax32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Dokumente und Einstellungen\Grec\Startmenü\Programme\Autostart\driungendlöschen.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\Programme\Mozilla Firefox\firefox.exe
d:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Grec\LOKALE~1\Temp\Rar$EX00.031\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.strato.de/dsl/
F2 - REG:system.ini: Shell=explorer.exe "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - Startup: AntiVir.lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Startup: driungendlöschen.exe
O4 - Startup: Outpost Firewall.lnk = C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.strato.de/dsl/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094125027625
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA128789-4AEC-4967-A5FE-BDE6067F6BF8}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C317B8C9-3B81-4913-8909-22433DCB5EDB}: NameServer = 194.97.173.125 194.97.173.124
O18 - Filter: text/html - (no CLSID) - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

Also, das Ding hieß u8nd heißt Gamma Loader. exe
und ich habs halt zum löschen,
mit mangelhafter Rechtschreibung
in driungendlöschen.exe umgetauft, hat aber nix
genutzt.

Dann kommt nachm Neustart auch immer die
Fehlermeldung zwecks Suche nach
ibm00003. exe

Was das schon hat scheins geklappt
Tausend Dank schon mal, hoffentlich nix schlimmes

Gruß Grec

Hi zusammen,

denke, das es nu lustig wird,
hab grad noch ne nette Meldung aufm
Screen gehabt, habe
also noch son

TR\Drop.sma.amd.5B


Antivir sagt dazu, es handele sich
dabei um TR\Agent.GP.3

is das was Neues, hängts vielleicht mit dem
anderen Problem zusammen?

Thx von Grec

Hallo grec,

scanne dein System bitte mit escan


chaosman

Hi chaosman,

irgendwie konnt ich das
Ergebnis des escan nicht "transferieren",
also hämmer ichs mal grad ´rein:

Eingangs ´n bißchen spc/addaware von kaaza
allgemein in file system hat mich noch net
bange gemacht (ohne pfadangaben)
aber dann:

cws,loadadv.400 Browser Hijacker found in file system
cws............401..................................................

und nu geht´s los, was ein Mann so braucht

c\Dokume\grec\locale1\tempor1\content.ie5\wlivw56\
kfazkw1.txt. infected by Trojan-PSW.Win.sinowal.d

c\dokumente u. einstellungen\Grec\anwendungsdaten\
thunderbird\profiles\cpx6kldw.default\mail\local Folders\
inbox infected by Networm Win 32 mytob.dam


c\System Volume information\restore.....\A0040756.exe
infected by Trojan-Downloader.Win32 Ho(a)rnig.bg

Wenn ich nur alles soviel hätt´wie Vieren und Würmer,
qdank Dir chaosman......Gruß grec

Hallo grec,
iss nix wildes,hängt noch alles in den temporären Dateien.
Lade AdAware Personal,Spybot Search&Destroy und Ewido Security Suite.Alle drei updaten.Clear Prog 1.4.1. final laden
Schalte die Systemwiederherstellung aus(Google weiß wie) und gehe in den abgesicherten Modus(Taste F8 beim Starten)
Lass alle drei laufen ,Reihenfolge egal,und lösche was angezeigt wird.
Zurück in den Normalmodus und Clear Prog starten ,alle Haken setzen und löschen was angezeigt wird.Ewido ist eine Testversion ,entweder deinstallieren oder auf jeden Fall den Wächter abschalten.Sonst kommt es zu Problemen mit deinem "Hausscanner".
Jetzt müsste Ruhe eingekehrt sein.....
Irlicht
Edit.
dein Java kann ein Update vertragen

Hi chaosman, hi irrlicht,

alles gemacht wie gesagt, hab mich
heute abend mal 3 1/2 stunden
vor den computer gesetzt und den
scannern zugesehen.

war spannender als die wiederhohlungen
im fernsehen.

we are amused.

jedoch fanden die scanner außer ein paar krümmel
(plätzchen) nix.
Außer Anti-vir, das konnte wenigstens noch einen dropper
meucheln.

Keiner der Programme scannte die Datei "C\system volume information..."
wo halt der "rotz" ist, die lungert immer noch
unangreifbar und selbstbewußt in der gegend ´rum.

Beneidenswert, we are not amused.

Noma thx euch beiden, lg-----Grec

Hallo grec,
gehe über Start>alle Programme>Zubehör>Systemprogramme>Systemwiederherstellung
Dort setzt du einen neuen Wiederherstellungspunkt und gibst ihm einen Namen.Versichere dich aber vorher ,ob auch alle Programme die du täglich brauchst momentan auch funktionieren.Erst dann kommt der Punkt.
Wenn du dies getan hast gehst du über
Start>alle Programme>Zubehör>Systemprogramme>Datenträgerbereinigung
Wenn das Laufwerk das angezeigt wird ,ok ist starte die Datenträgerbereinigung.Nun wird berechnet was zu löschen ist.Wenn er fertig gerechnet hat geht ein neues Fenster auf.Dort wählst du den Reiter "weitere Optionen".Suche dir das Feld "Systemwiederherstellung" und bereinige dort wo es heißt:"Sie können zusätzlichen Speicherplatz freigeben,indem sie alle bis auf den letzten Wiederherstellungspunkt löschen."
Da du vorher einen Wiederherstellungspunkt gesetzt hast ,wird alle anderen vorherigen Punkte in den Orkus gejagt,auch deine alten System Volume Information.Danach poppt das Fenster mit der Datenträgerbereinigung wieder auf und will reinigen.Lass reinigen.
Nu iss aber ganz sicher Ruhe
Irrlicht

Hi Irrlicht,
HiChaosman,

das hab ich wohl hingekriegt!

Ich setz mal den neuen logfile ´rein,
wenn einer von euch so nett wäre...

Logfile of HijackThis v1.99.1
Scan saved at 11:04:28, on 21.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Dokumente und Einstellungen\All Users\Startmenü\Programme\Autostart\FriFax32.exe
C:\Programme\FRITZ!\IWatch.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\system32\drivers\CDAC11BA.EXE
C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe
C:\Programme\Mozilla Firefox\firefox.exe
d:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Grecr\LOKALE~1\Temp\Rar$EX00.907\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.strato.de/dsl/
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - d:\PROGRA~1\SPYBOT~1\SDHelper.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [VTTimer] VTTimer.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Outpost Firewall] C:\Programme\Agnitum\Outpost Firewall\outpost.exe /waitservice
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Shell] "C:\Programme\Gemeinsame Dateien\Microsoft Shared\Web Folders\ibm00003.exe"
O4 - Startup: AntiVir.lnk = C:\Programme\AVPersonal\AVWIN.EXE
O4 - Startup: Outpost Firewall.lnk = C:\Programme\Agnitum\Outpost Firewall 1.0\outpost.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = D:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: FriFax32.exe
O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &eBay Search - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Programme\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra button: Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O9 - Extra 'Tools' menuitem: Show Trashcan - {072F3B8A-2DA2-40e2-B841-88899F240200} - C:\PROGRA~1\Agnitum\OUTPOS~1\TRASH.EXE (HKCU)
O14 - IERESET.INF: START_PAGE_URL=http://www.strato.de/dsl/
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094125027625
O17 - HKLM\System\CCS\Services\Tcpip\..\{AA128789-4AEC-4967-A5FE-BDE6067F6BF8}: NameServer = 192.168.120.252,192.168.120.253
O17 - HKLM\System\CCS\Services\Tcpip\..\{C317B8C9-3B81-4913-8909-22433DCB5EDB}: NameServer = 194.97.173.124 194.97.173.125
O18 - Filter: text/html - (no CLSID) - (no file)
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: Outpost Firewall Service (OutpostFirewall) - Agnitum - C:\PROGRA~1\Agnitum\OUTPOS~1\outpost.exe

Hoffentlich siehts nu wat besser aus

Thx a lot.......Grec

Hallo grec,
das hier noch fixen,weils leer ist :
O18 - Filter: text/html - (no CLSID) - (no file)
Ansonsten siehst du dir noch Cidre`s Tipps zur Systemabsicherung an.
So kann man`s lasse
Irrlicht

Hi Irrlicht,

Nu geht´s zur Ostfront!
Wat iss nu wieder fixen!

Du redest mit ´nem Dau!
Ansonsten wollt ich noch
wissen, wo der Haken ist.

Welcher Haken? Habe Tage und
Stunden am PC verbracht,
um die Mistviecher mit allen
möglichen Scannern zu vertreiben,

UND DANN KOMMST DU
MIT SONER POPLIGEN
SYSTEMGESCHICHTE

und alles ist ok.Da muß doch ´n Haken sein??

Egal, tausendfachen Dank,
wenns in meiner Macht läge, bekämste nich
nur Sterne soviel Du willst,
paar Orden wären auch dabei.

Die Gefahr, das ich Dir mal helfen könnte
ist zwar ziemlich gering, das Angebot
definitiv vorhanden.

Thx---Grec

Hallo grec,
da hat`s hier aber ganz andere Künstler noch
Deswegen habe ich auch antworten dürfen,das war denen einfach zu popelig
Fixen ?
HijackThis nochmal laufen lassen,Log angucken den von mir gezeigten Eintrag suchen und markieren dann Button "fix checked" klicken.
Wech isses.....
Irrlicht