|
Plagegeister aller Art und deren Bekämpfung: Problem mit Virus(?) rmtag2.js Bitte Helft mirWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
10.06.2006, 08:16 | #1 |
| Problem mit Virus(?) rmtag2.js Bitte Helft mir Hallo Leute, Ich bin am verzweifeln... Seit einigen Tagen hab ich jetzt diesen rmtag2.js Virus, Trojaner was auch immer. Ich hab überall im internet nach anleitungen gesucht wie ich das weg kriege, aber ich hab nichts gefunden was mir weitergeholfen hat... Hier im Forum gab es auch einen beitrag über das thema, aber der hat mir auch nicht weitergeholfen. Ich hoffe ihr könnt mir helfen, ich möchte nämlich nicht formatieren Also Feler ist folgender. Immer wieder meldet mir anti vir einen fund, und dann mach ich zugriff verweigern oder löschen und danach öffnet sich ein pop up fenster. manchmal öffnen sich auch pop ups ohne das Anti Vir einen Fund meldet... Antivir gibt an " rmtag2.js " gefunden zu haben... Ich poste mal meine Hijack This logfile: -------------------------------------------------------------------------- Logfile of HijackThis v1.99.1 Scan saved at 09:15:39, on 10.06.2006 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: E:\WINDOWS\System32\smss.exe E:\WINDOWS\system32\winlogon.exe E:\WINDOWS\system32\services.exe E:\WINDOWS\system32\lsass.exe E:\WINDOWS\system32\svchost.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\system32\spoolsv.exe E:\Programme\AntiVir PersonalEdition Classic\sched.exe E:\Programme\AntiVir PersonalEdition Classic\avguard.exe E:\Programme\CPUCooL\CooLSrv.exe E:\WINDOWS\System32\nvsvc32.exe E:\WINDOWS\System32\svchost.exe E:\WINDOWS\System32\Tablet.exe E:\WINDOWS\System32\UAService7.exe E:\WINDOWS\system32\ZoneLabs\vsmon.exe E:\WINDOWS\Explorer.EXE E:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe E:\WINDOWS\System32\taskswitch.exe E:\Programme\QuickTime\qttask.exe E:\WINDOWS\System32\RUNDLL32.EXE E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe E:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe F:\Programme\dtools2\daemon.exe C:\Programme\ZoneAlarm\zlclient.exe E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe E:\Programme\Java\jre1.5.0_06\bin\jusched.exe E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe E:\WINDOWS\System32\LVCOMSX.EXE C:\Programme\Logitech\LogiTray.exe E:\Programme\MessengerPlus! 3\MsgPlus.exe F:\Programme\Winamp\winampa.exe E:\Programme\NetPumper\NetPumperIEProxy.exe E:\Programme\Anti-Blaxx\Anti-Blaxx.exe E:\Programme\Internet Explorer\iexplore.exe I:\Backup\alte 2\Programme\BillP Studios\WinPatrol\WinPatrol.exe C:\Programme\Logitech\FxSvr2.exe e:\progra~1\intern~1\iexplore.exe C:\Programme\Skype\Phone\Skype.exe C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe E:\Programme\MSN Messenger\MsnMsgr.Exe E:\Programme\Internet Explorer\iexplore.exe E:\Programme\ArcorOnline\Arcor.exe E:\Programme\ICQLite\ICQLite.exe C:\Program Files\Shareaza\Shareaza.exe E:\Programme\NCH Swift Sound\Switch\switch.exe E:\Dokumente und Einstellungen\***\Desktop\Windows-KB890830-V1.16.exe f:\61d441887e8d9531e642\mrtstub.exe E:\WINDOWS\System32\MRT.exe E:\Programme\Internet Explorer\iexplore.exe E:\Dokumente und Einstellungen\***\Desktop\Neuer Ordner\HIJACKTHIS\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = h**p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = h**p://www.arcor.de R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://www.arcor.de R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.arcor.de R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {2C4166AA-C7E5-836E-92AC-057B58AFE2FC} - E:\DOKUME~1\***\ANWEND~1\TOOLDU~1\Dashglue.exe O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - E:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NVMixerTray] "E:\Programme\NVIDIA Corporation\NvMixer\NVMixerTray.exe" O4 - HKLM\..\Run: [NeroCheck] E:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [CoolSwitch] E:\WINDOWS\System32\taskswitch.exe O4 - HKLM\..\Run: [QuickTime Task] "E:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE E:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE E:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [HPDJ Taskbar Utility] E:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb08.exe O4 - HKLM\..\Run: [HP Software Update] E:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd.exe O4 - HKLM\..\Run: [DeviceDiscovery] E:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "F:\Programme\dtools2\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [Zone Labs Client] C:\Programme\ZoneAlarm\zlclient.exe O4 - HKLM\..\Run: [avgnt] "E:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min O4 - HKLM\..\Run: [Mirabilis ICQ] C:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [SunJavaUpdateSched] E:\Programme\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [TkBellExe] "E:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [LVCOMSX] E:\WINDOWS\System32\LVCOMSX.EXE O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programme\Logitech\ISStart.exe O4 - HKLM\..\Run: [LogitechVideoTray] C:\Programme\Logitech\LogiTray.exe O4 - HKLM\..\Run: [MessengerPlus3] "E:\Programme\MessengerPlus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [WinampAgent] F:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [NetPumper] "E:\Programme\NetPumper\NetPumperIEProxy.exe" O4 - HKLM\..\Run: [Blah dent bait kind] E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\bias setup blah dent\Tick Time.exe O4 - HKLM\..\Run: [Anti-Blaxx Manager] E:\Programme\Anti-Blaxx\Anti-Blaxx.exe O4 - HKLM\..\Run: [WinPatrol] I:\Backup\alte 2\Programme\BillP Studios\WinPatrol\WinPatrol.exe O4 - HKCU\..\Run: [Skype] "C:\Programme\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Programme\Logitech\ManifestEngine.exe boot O4 - HKCU\..\Run: [LDM] C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe O4 - HKCU\..\Run: [MessengerPlus3] "E:\Programme\MessengerPlus! 3\MsgPlus.exe" /WinStart O4 - HKCU\..\Run: [chic barb] E:\DOKUME~1\***\ANWEND~1\FLAGJU~1\PileVgaPure.exe O4 - HKCU\..\Run: [Steam] "F:\Spiele\Steam\Steam.exe" -silent O4 - HKCU\..\Run: [msnmsgr] "E:\Programme\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\RunOnce: [ICQ Lite] E:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: CPUCooL.lnk = E:\Programme\CPUCooL\CPUCooL.exe O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe O4 - Global Startup: Microsoft Office.lnk = I:\programme system\Office XP\Office10\OSA.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://E:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward &Links - res://E:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cac&hed Snapshot of Page - res://E:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Download with NetPumper - E:\Programme\NetPumper\AddUrl.htm O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://I:\PROGRA~3\OFFICE~1\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Si&milar Pages - res://E:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - E:\Programme\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - E:\Programme\ICQLite\ICQLite.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{1FC38745-1F13-4381-8CE5-5E6C316C59A5}: NameServer = 195.50.140.114 195.50.140.252 O17 - HKLM\System\CS1\Services\Tcpip\..\{1FC38745-1F13-4381-8CE5-5E6C316C59A5}: NameServer = 195.50.140.114 195.50.140.252 O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "E:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing) O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - E:\Programme\AntiVir PersonalEdition Classic\sched.exe O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - AVIRA GmbH - E:\Programme\AntiVir PersonalEdition Classic\avguard.exe O23 - Service: CPUCooLServer Service (CPUCooLServer) - Unknown owner - E:\Programme\CPUCooL\CooLSrv.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - E:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: Macromedia Licensing Service - Unknown owner - E:\Programme\Gemeinsame Dateien\Macromedia Shared\Service\Macromedia Licensing.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - E:\WINDOWS\System32\nvsvc32.exe O23 - Service: TabletService - Wacom Technology, Corp. - E:\WINDOWS\System32\Tablet.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - E:\WINDOWS\System32\UAService7.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - E:\WINDOWS\system32\ZoneLabs\vsmon.exe -------------------------------------------------------------------------- Erstmal vielen dank für alles schonmal im vorraus Ich hoffe ihr könnt mir helfen, ihr seit wirklich meine letzte hoffnung Locke |
10.06.2006, 08:28 | #2 |
| Problem mit Virus(?) rmtag2.js Bitte Helft mir Hallo,
__________________erstmal beseitigst du den Swizzor, dann sehen wir mal ob das Problem mit dem anderen Trojaner nicht auch erledigt ist: Arbeite die Anleitung ab, die für dich relevanten Beiträge sind: O2 - BHO: (no name) - {2C4166AA-C7E5-836E-92AC-057B58AFE2FC} - E:\DOKUME~1\***\ANWEND~1\TOOLDU~1\Dashglue.exe O4 - HKLM\..\Run: [Blah dent bait kind] E:\Dokumente und Einstellungen\All Users.WINDOWS\Anwendungsdaten\bias setup blah dent\Tick Time.exe O4 - HKCU\..\Run: [chic barb] E:\DOKUME~1\***\ANWEND~1\FLAGJU~1\PileVgaPure.exe die beiden Einträge kannst du gleich mal fixen (Haken davor und auf "fix checked"): O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present Beende auch mal den Prozess mrtstub.exe und überprüfe die zugehörige Datei f:\61d441887e8d9531e642\mrtstub.exe hier und poste das Ergebnis. Grüße Wildone |
12.06.2006, 10:31 | #3 |
| Problem mit Virus(?) rmtag2.js Bitte Helft mir Wow, ich danke dir erstmal für deine Hilfe.
__________________Hab das zwar schon früher gelesen, aber das ist ja ganz schön kompliziert ... Aber ich werde es jetzt einfach mal wagen, und hoffe das ichs hinkriege. Aber danke nochmal , ich hoffe das das gleich weg ist... hab nach der datei MRTSTUB.EXE gesucht und 2 gefunden: a)MRTSTUB.EXE-00DA0E7C.pf b)MRTSTUB.EXE-2BD7641A.pf hier mal das ergebnis von virustotal vom check der 2ten datei... STATUS: FINISHEDComplete scanning result of "MRTSTUB.EXE-2BD7641A.pf", received in VirusTotal at 06.12.2006, 11:40:42 (CET). Antivirus Version Update Result AntiVir 6.35.0.10 06.12.2006 no virus found Authentium 4.93.8 06.09.2006 no virus found Avast 4.7.844.0 06.11.2006 no virus found AVG 386 06.11.2006 no virus found BitDefender 7.2 06.12.2006 no virus found CAT-QuickHeal 8.00 06.10.2006 no virus found ClamAV devel-20060426 06.12.2006 no virus found DrWeb 4.33 06.11.2006 no virus found eTrust-InoculateIT 23.72.34 06.11.2006 no virus found eTrust-Vet 12.6.2250 06.09.2006 no virus found Ewido 3.5 06.12.2006 no virus found Fortinet 2.77.0.0 06.12.2006 no virus found F-Prot 3.16f 06.09.2006 no virus found Ikarus 0.2.65.0 06.09.2006 no virus found Kaspersky 4.0.2.24 06.12.2006 no virus found McAfee 4781 06.09.2006 no virus found Microsoft 1.1441 06.12.2006 no virus found NOD32v2 1.1593 06.12.2006 no virus found Norman 5.90.21 06.12.2006 no virus found Panda 9.0.0.4 06.11.2006 no virus found Sophos 4.06.0 06.12.2006 no virus found Symantec 8.0 06.12.2006 no virus found TheHacker 5.9.8.158 06.12.2006 no virus found UNA 1.83 06.09.2006 no virus found VBA32 3.11.0 06.11.2006 no virus found Aditional Information File size: 39198 bytes MD5: b6c5b8ce8bbf1df77c7439ba6b920e8b SHA1: 09f7e8dd5a165e00b28826e1cb99f54ab9493940 Bei der ersten war das gleiche, also kein virus gefunden ich werd mich mal an den rest wagen ... grüse Locke Geändert von LockeDB (12.06.2006 um 10:46 Uhr) |
12.06.2006, 11:34 | #4 |
| Problem mit Virus(?) rmtag2.js Bitte Helft mir Wildone, du bist einfach der beste :aplaus: so kompliziert wie es sich angehört hat war es garnicht, du hast ja alles schon rausgesucht was ich löschen muss. war eigentlich eher einfach, und es ist tatsächlich alles weg. und dank cleanup hab ich wieder 400MB mer speicher auf der festplatte ach is das entspannen, ohne pop ups ! ein traum danke danke danke ( kann ich nicht oft genug sagen alles gute Locke |
Themen zu Problem mit Virus(?) rmtag2.js Bitte Helft mir |
adobe, avira, bho, desktop, drivers, einstellungen, excel, explorer, google, helfen, heulen, hijack, hijack this, hijackthis, internet, internet explorer, logfile, monitor, pop ups, problem, rundll, software, system, trojaner, vielen dank, virus, windows, windows xp, öffnet |