also leute,

unzwar ich habe ungefähr vor 3 tagen glaub ich eine gefälschlte rechnung von ebay bekommen an meine e-mail adresse, und dann habe ich es entpackt und hab schon eine virusmeldung bekommen (hab AntiVir) kam übrigens eine exe. datei raus die ich natürlich nicht geöffnet habe... ja und seit dem öffnen sich wenn ich mit dem Internut verbunden bin fenster und gleichzeitg virusmeldungen von antivir... so allle 3 min. (Windows..../rmtag2.js.. Enthält Signatur des Java-Scriptvirus..) Das steht immer und ich lösche es natürlich.. hab schon komplett mein Pc durchgescannt auch mit Ad-Adware SE Personal. und die Seiten die sich autom. öffnen haben endung www.......com/tau.html.

ja und meine frage ist jetzt was ich dagegen tun kann. wie bekomme ich den scheiß wieder weg!!! bitte um Hilfe

Zitat:

Zitat von BJK1988

..ja und meine frage ist jetzt was ich dagegen tun kann..

Poste ein Hijacklog, eine Anleitung dazu findest du in meiner Signatur! Dann sehen wir weiter!

Gruß
Daniel

ok hier ist es bitte:

Logfile of HijackThis v1.99.1
Scan saved at 16:16:42, on 07.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\****~1\EIGENE~1\RACLE~1\RSS~1.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: (no name) - {95B28005-12EB-1864-EA1E-390133B078B5} - C:\WINDOWS\system32\gpgkqofj.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: kartalhan toolbar - {cea5bdf8-1388-4785-9ef4-f364b9fb2113} - C:\Programme\kartalhan\tbkar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard25.exe
O4 - HKLM\..\Run: [newname] C:\\newname25.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rlos] "C:\WINDOWS\WNSXS~1\regedit.exe" -vt ndrv
O4 - HKCU\..\Run: [rrzk] C:\PROGRA~1\GEMEIN~1\rrzk\rrzkm.exe
O4 - HKCU\..\Run: [Jfl] C:\DOKUME~1\***~1\EIGENE~1\RACLE~1\RSS~1.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20060104/qtinstall.info.apple.com/snape/us/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {990D211C-FBA4-47FB-A764-A2D7A78A79E4} (SecureLogin) - http://www.gamegarden.net/game/ggsecure.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll C:\WINDOWS\system32\notepad.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\ir8ml5l11.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Auto Power-on (AutoPower) - Unknown owner - C:\Programme\Auto Power-on\AutoPower.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Also du hast da einiges mehr im System: z.B. den hier --> Sophos
und noch ein paar andere! Meiner Meinug macht eine Bereinigung keinen Sinn mehr..

Lass trotzdem mal folgende Dateien bei Virustotal auswerten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\gpgkqofj.dll
C:\PROGRA~1\GEMEIN~1\rrzk\rrzkm.exe
C:\WINDOWS\system32\notepad.dll
C:\WINDOWS\system32\ir8ml5l11.dll
         

Poste danach jeweils das Ergebnis!!!

Gruß
Daniel

Zitat:

Zitat von [Gc]Sunny

Also du hast da einiges mehr im System: z.B. den hier --> Sophos
und noch ein paar andere! Meiner Meinug macht eine Bereinigung keinen Sinn mehr..

Lass trotzdem mal folgende Dateien bei Virustotal auswerten:

Code: Alles auswählenAufklappen

ATTFilter

C:\WINDOWS\system32\gpgkqofj.dll
C:\PROGRA~1\GEMEIN~1\rrzk\rrzkm.exe
C:\WINDOWS\system32\notepad.dll
C:\WINDOWS\system32\ir8ml5l11.dll
         

Poste danach jeweils das Ergebnis!!!

Gruß
Daniel

danke daniel aber ich kenn mich halt nicht so gut aus wie du deshlab könntest du mir sagen was ich machen soll ich mein in schritten oder so

Klicke auf meinen LINK hier ---> Virustotal

Dann öffnet sich ein neues Fenster. Oben rechts auf der Seite ist ein Button --> "DURCHSUCHEN", KLICK, dann suchst du die erste Datei:
1.) C:\WINDOWS\system32\gpgkqofj.dll
2.) C:\PROGRA~1\GEMEIN~1\rrzk\rrzkm.exe
3.) C:\WINDOWS\system32\notepad.dll
4.) C:\WINDOWS\system32\ir8ml5l11.dll

gehst sofern du sie finden kannst auf öffnen, dann schliesst sich das Fenster, und neben dem Button DURCHSUCHEN ist der BUTTON --> SEND, klicken und abwarten! Kann bis zu 2 Minuten dauern... Dann wird die Datei ausgewertet! Markiere den Bildschirm Text und poste ihn in einen Beitrag! Dann nimmst du dir die 2te Datei vor usw usw usw..

Gruß

oh nöö.... was passiert dann werden meine Sachen alle gelöscht(datein).

kann ich des scheiß net irgendwie wegbekommen. wie meinst du das mit kompliziert... muss doch ne andere möglichkeit geben.

Hallo BJK1988,

Dein System ist mit diversen "Schadprogramme" infiziert, u.a. auch mit DIESEM Backdoor-Trojaner .
Da ist leider eine Neuinstallation unumgänglich.
Deine Dateien, sofern es keine ausführenden Dateien sind, kannst Du problemlos sichern.

dartus

@[Gc]Sunny,

wie kommst Du auf diesen Schädling (siehe Dein Sophos-Link)?

hallo...!

ich habe das selbe problem, dass bei mir auch immer wenn ich im internet war oder bin alle paar minuten so ne meldung von antivir kommt (rmtag2... - JavaScripVirus).

Ihr habt geschrieben, es gibt noch ne möglichkeit das wegzubekommen?!
Gibts auch ne Möglichkeit ohne weitere Scanprogramme installieren zu müssen?

Danke schon mal für eine Antwort....

http://www.trojaner-board.de/archive...p/t-29799.html

http://www.trojaner-board.de/showthread.php?t=29799

ich habe eine bitte an die moderatoren.... also diesen thread könnt ihr löschen hab mein pc neu formatiert....