Hallo. Ich habe mir ein InternetExplorer Addon namens jkhfd.dll eingefangen, das andauernd Werbung einblendet. Es befindet sich in C:\WINDOWS\Sytem32aber es lässt sich nicht löschen, kann mir jemand helfen?

Danke schonmal

Hallo,

dann lass mal die Datei bei Virustotal auswerten, poste dann anschliessend das Ergebnis!

C:\windows\system32\jkhfd.dll

Gruß
Daniel

Das könnte mehr sein ...
Poste bitte ein vollständiges HJT-Logfile, Anleitung.

mfg,
Markus

Edit: Moin nochmal, Sunny

Zur 1. Antwort: Was soll das bringen?
Zur 2. :

Logfile of HijackThis v1.99.1
Scan saved at 15:09:13, on 16.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Zur 1. Antwort: Was soll das bringen?
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Razer\Copperhead\razerhid.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\Programme\Razer\Copperhead\razertra.exe
C:\Programme\Razer\Copperhead\razerofa.exe
C:\Programme\ICQLite\ICQLite.exe
C:\Programme\WinRAR\WinRAR.exe
C:\DOKUME~1\Nico\LOKALE~1\Temp\Rar$EX00.578\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
F2 - REG:system.ini: UserInit=userinit.exe
O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [Copperhead] C:\Programme\Razer\Copperhead\razerhid.exe
O4 - HKCU\..\Run: [CPU] C:\Dokumente und Einstellungen\Nico\Eigene Dateien\Nicolas\PC\Sonstiges\CPU.bat
O4 - HKCU\..\Run: [Antivirus On-Access File Guard] C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Alles mit FlashGet laden - C:\Programme\FlashGet\jc_all.htm
O8 - Extra context menu item: Artikel hinzufügen - file://c:\add.htm
O8 - Extra context menu item: Mit FlashGet laden - C:\Programme\FlashGet\jc_link.htm
O15 - Trusted Zone: www.computerbild.de
O15 - Trusted Zone: www.f1total.com
O15 - Trusted Zone: www.godlike-gamers.eu
O15 - Trusted Zone: www.kaspersky.com
O15 - Trusted Zone: www.mircosoft.com
O15 - Trusted Zone: www.pandasoftware.com
O15 - Trusted Zone: www.t-online.de
O15 - Trusted Zone: http://www.webstats4u.com
O15 - Trusted IP range: http://80.86.92.78
O15 - Trusted IP range: http://192.168.1.1
O15 - Trusted IP range: http://192.168.0.1
O16 - DPF: {029FDBA6-3547-11D7-AA4C-0050BF051A00} (Rawflow ICD Client) - http://www.giga.de/giga-stream-test/Rawflow.cab
O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://www.johannrain-softwareentwicklung.de/DE/scan8/oscan8.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1123
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PDEngine - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDEngine.exe
O23 - Service: PDScheduler (PDSched) - Raxco Software, Inc. - C:\Programme\Raxco\PerfectDisk\PDSched.exe

*Edit* Die Datei um die es hier geht is nich dabei weil ich sie unter extras> addons verwalten im internetexplorer deaktiviert haben, ist diese nach jedem systemstart wieder aktiviert. ich bin mir aber ziemlich sicher dass es an dem addon liegt un möchte eigentlich nur wissen wie ich es runterkrieg, mit killbox funktionierts übrigens nicht

Zitat:

Zur 1. Antwort: Was soll das bringen?

dann weiß man womit man es zu tun hat... bzw. um welchen (z.B.) Trojaner es sich handelt!
1.) Also lass die Datei auswerten und poste das Ergebnis!

2.) Dann mit HijackThis folgende Zeilen fixen:

Zitat:

O3 - Toolbar: (no name) - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O8 - Extra context menu item: Artikel hinzufügen - file://c:\add.htm
O15 - Trusted Zone: www.computerbild.de
O15 - Trusted Zone: www.f1total.com
O15 - Trusted Zone: www.godlike-gamers.eu
O15 - Trusted Zone: www.kaspersky.com
O15 - Trusted Zone: www.mircosoft.com
O15 - Trusted Zone: www.pandasoftware.com
O15 - Trusted Zone: www.t-online.de
O15 - Trusted Zone: http://www.webstats4u.com
O15 - Trusted IP range: http://80.86.92.78
O15 - Trusted IP range: http://192.168.1.1
O15 - Trusted IP range: http://192.168.0.1

3.) Mach einen eScan, Anleitung ist in meiner Signatur verlinkt!

Gruß
Daniel

schon wieder Doppelpost,
@Shadow, mal wieder was für Dich! Sorry

Also, des Fixen hat nichts gebracht, dein escan hat leider auch nichts gefunden und bei dem Virustotal kam nach einer Minute immer: status queued. Was nun?

Zitat:

status queued. Was nun?

Nochmal mit Virustotal versuchen und abwarten! Kann bis zu 2 Minuten dauern bis die Datei ausgewertet wird...

queued = angestanden bzw. in der Schlange

OK, jetzt gehts, hier das Ergebnis: Das "Virtumod", siehe Dr. Web, findet adaware auch, allerdings lässt es sich nicht entfernen.
Antivirus Version Update Result
AntiVir 6.35.0.13 06.16.2006 no virus found
Authentium 4.93.8 06.16.2006 no virus found
Avast 4.7.844.0 06.15.2006 no virus found
AVG 386 06.16.2006 no virus found
BitDefender 7.2 06.16.2006 no virus found
CAT-QuickHeal 8.00 06.16.2006 no virus found
ClamAV devel-20060426 06.16.2006 no virus found
DrWeb 4.33 06.16.2006 Trojan.Virtumod
eTrust-InoculateIT 23.72.40 06.16.2006 no virus found
eTrust-Vet 12.6.2259 06.16.2006 Win32/Vundo
Ewido 3.5 06.16.2006 no virus found
Fortinet 2.77.0.0 06.16.2006 suspicious
F-Prot 3.16f 06.16.2006 no virus found
Ikarus 0.2.65.0 06.16.2006 no virus found
Kaspersky 4.0.2.24 06.16.2006 no virus found
McAfee 4785 06.15.2006 Vundo
Microsoft 1.1441 06.16.2006 no virus found
NOD32v2 1.1604 06.16.2006 no virus found
Norman 5.90.21 06.16.2006 no virus found
Panda 9.0.0.4 06.16.2006 Suspicious file
Sophos 4.06.0 06.16.2006 no virus found
Symantec 8.0 06.16.2006 no virus found
TheHacker 5.9.8.160 06.16.2006 no virus found
UNA 1.83 06.15.2006 no virus found
VBA32 3.11.0 06.16.2006 no virus found
VirusBuster 4.3.7:9 06.16.2006 no virus found

Versuch es mal hiermit:

http://www.symantec.com/region/de/te...oval.tool.html

Melde dich danach nochmal ob immer noch Werbung kommt!

weiß nicht genau ob das alles so richtig ist, aber CA-Deutschland meint dazu:

Zitat:

Backdoor Functionality

Vundo attempts to download and execute files from the virtumonde.com domain, however some variants have also attempted to use remote servers on ports within the 62.4.84.* IP range.

Vundo opens up a backdoor which takes commands from a remote host. Current variants afford their controllers the following capabilities:

* Block user access to particular sites by modifying the Windows hosts file
* Show popups
* Add/set/get cookies
* Redirect URLs
* Download files
* Search browsed pages for keywords
* Modify registry keys and values
* Change controlling host address
* Record and send browsing statistics
* Log user input/alter user input

Gruß
Daniel

Hallo, der Symantac Remover läuft geraden, aber ich hab noch was was ich nicht loskrieg, Panda Active Scan hats gefunden:
1.
Adware/YazzleThreat Level:
Damage:
Distribution:

Wo sich die Datei befindet steht leider nicht dabei

2. Dialer.SU
Ort: hkey_local_maschine\software\microsoft\windows\currentversion\unistall\switch

Ähm und des Symantec hat nichts gefunden....

Zitat:

Zitat von OKratzer

Ähm und des Symantec hat nichts gefunden....

Sehr komisch das Ganze!

Zitat:

1.
Adware/YazzleThreat Level:

Lade dir Ad-Aware und Spybot S&D scanne damit dein System, immunisiere mit Spybot zusätzlich!

Gruß
Daniel

adaware findet leider nix ausser den trojaner den es ja nicht entfernen kann und spybot findet garnix

Versuch nochmal die manuelle Entfernung von folgender Seite, steht ganz unten!

http://www.symantec.com/region/de/te...jan.vundo.html

da steht auch was du aus der Registry löschen musst, also alles lesen und VERSTEHEN!

Gruß
Daniel