Hallo
Ich hab also nen Trojaner, das weiß ich weil mein Freund ihn mir draufgehaun hat. Er speichert jeden Tastenanschlag, das kann ich auch hörn. (Rattert halt nach jedem Buchstaben.)
Nun ist der Kerl weg, aber das Ding scheinbar noch da, denn wennich strg alt N drücke geht noch immer die PW abfrage auf.
Ich hab die Dateien alle gelöscht die ich im Ordner Wanzen ( wie einfallsreich..) gefunden hatte.
Scheint nichts genutzt zu haben. Der Antivirguard findet nix.
Hab versucht highjackthis zu installiern, aber der läuft nicht. Ich öffne die hjt.exe, dann geht für den Bruchteil einer Sekunde ein Fenster auf, und Ende.
Ich hab Win98first.

Sorry, mehr Angaben kann ich nicht machen fürcht ich, ich hab wirklich so garkeinen Plan!

Das L.

Hi, was is das denn für ne schräge story? Versuchs mit HJT mal im abgesicherten Modus (beim Neustart F8), denn ohne das logfile siehts trüb aus. Was für ein Trojaner? Gruß

Huhu
Na das geht ja fix hier *freu*
Wieso schräg? Nur halt dürftig was die Infos angeht... ich hab halt keine Ahnung von sowas.
Die Dateien hießen spyagent monitor oder so ähnlich, ich habs ja leider einfach unbedacht gelöscht, sonst könnt ich da mehr zu sagen, sryyy!
beim neustart F8 also, und dann komm ich gleich nochmal.
Danke bis dahin :-)

Vielleicht bekommst Du nen Output von Autoruns. Das wäre zumindest mal etwas.

http://www.sysinternals.com/Utilities/Autoruns.html

das hat geklappt!! :-D
Warum geht der im abgesicherten Modus!?
Wie auch immer, hier also der HJT log:

Logfile of HijackThis v1.99.1
Scan saved at 22:23:10, on 21.09.06
Platform: Windows 98 Gold (Win9x 4.10.1998)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\DESKTOP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://de.yahoo.com
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://de.yahoo.com/
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von Yahoo!
O2 - BHO: bho2gr Class - {31FF080D-12A3-439A-A2EF-4BA95A3148E8} - C:\Programme\Tools\GetRight\xx2gr.dll
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [avgctrl] "C:\Programme\AntiVir PersonalEdition Classic\avgctrl.exe" /min
O4 - HKLM\..\Run: [Real Spy Monitor] "C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe"
O4 - HKLM\..\Run: [Srv32Win] C:\PROGRAMME\WINRAR\FORMATS\SAS\SPYAGENT4.EXE
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\RunServices: [schedm] "C:\Programme\AntiVir PersonalEdition Classic\schedm.exe"
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O8 - Extra context menu item: Download with GetRight - C:\Programme\Tools\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\Tools\GetRight\GRbrowse.htm
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: START_PAGE_URL=http://de.yahoo.com
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab
O16 - DPF: {EB387D2F-E27B-4D36-979E-847D1036C65D} (QDiagHUpdateObj Class) - http://h30043.www3.hp.com/aio/de/check/qdiagh.cab?326
O16 - DPF: {82F2D6B2-6C58-4404-A930-9DB0FD90D4B1} (Driver_Detective_v43_Non_Member.DD_v43) - http://www.drivershq.com/cab/prod/Driver_Detective_v43_Non_Member.CAB

der autoruns ( danke mighty!) erzählt mir einiges von dem ich nix versteh, erzählt mir aber auch was vom real spy monitor...!?
dahinter steht dann: File not found: C Programme winrar formats rsm winrsm.exe

Baaahnhof...

Zitat:

Warum geht der im abgesicherten Modus!?

klick

Fixe (Häkchen setzen) im abgesicherten Modus mit HJT folgende Einträge

Zitat:

O4 - HKLM\..\Run: [Real Spy Monitor] "C:\PROGRAMME\WINRAR\FORMATS\RSM\WINRSM.exe"
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNfox000
O16 - DPF: Win32 Classes - file://C:\WINDOWS\Java\classes\win32ie4.cab

Suche C:\PROGRAMME\WINRAR\FORMATS\RSM und lösche den Ordner samt Inhalt. Sollte es probleme geben, nutze die Killbox (delete on reboot)
Lade dir ewido, update, scanne und poste das log von ewido. Wenn HJT wieder funktioniert, poste bitte auch ein neues HJT-log und berichte, ob noch was rattert. Ein Blick in autoruns kann auch nicht schaden.

Gute Nacht

Häkchen gesetzt, aber sonst ging nix:
Die Datei in Programme winrar ist nicht da. ( ist das gut?)
Ewido geht nich, weil ich nicht win2000 hab sondern halt nur 98...
Also das PW-Abfragefenster geht noch immer auf, und es rattert auch noch.
Aber das muß wohl, hab ja noch nichts weiter gelöscht.
Noch irgendeine rettende Idee!?
Schlaf sacht
Gut Nacht :-)

Zitat:

Ewido geht nich, weil ich nicht win2000 hab sondern halt nur 98...

uuuuuupss mein Fehler

poste mal ein Log von silentrunners

Du bist ja doch noch wach :-) !?

folgende Fehlermeldung trat auf:

http://img177.imageshack.us/my.php?image=fehlermeldunglm4.png

Ja, bin noch wach, entgegen meiner guten Vorsätze. Funktioniert der link nicht? Hast du das script ausgeführt?

ojee, nu bin ich dran schuld wenn Du morgen nicht ausgeschlafen bist...
ob ich damit leben kann..!?
andererseits gehe ich mal davon aus dass Du schon groß bist ;-)

da steht halt ich soll ziel speichern unter... habbich, unn dann klick ichs an und kriege halt die Fehlermeldung ( die ich nich versteh ). Kannst Du sie lesen!?

Hey!? DANKE :-)

Hast Du das geladen und installiert?

http://www.microsoft.com/downloads/d...displaylang=en

Jetz ja.
hilft aber nicht, nu hab ich 13 Dateien auffem Desktop aber die Fehlemeldung kommt trotzdem.

Ooh, MM hat die Übersicht