Hallo zusammen!

Ich bin nicht gerade der experte im Umgang mit Trojanern, also geht bitte schonend mit mir um ;-)

Ich habe nun folgendes Problem, mein PC spinnt hier völlig rum, ich hatte was weiss ich wie viele Viren und Trojaner drauf, ich konnte ziemlich viele entfernen, nur einer nervt mich wirklich bis zum Gehtnichtmehr ….

Das Teil heisst Trojan Downloader Alphabet.Gen, Spywaredoctor und mein Virenscaner zeigen mir den dauernd an, zudem wird auch immer etwas mit smanager.7.exe angezeigt, diese Datei lässt sich aber absolut nicht löschen, wer kann mir hier helfen, das System neu machen will ich auch nicht …

Danke schon mal im Vorraus

Marco

Halli hallo.

Stelle uns bitte mehr Infos zur Verfügung. Welcher Virenscanner, wo sind die Funde, was sind deine Probleme usw..

Dann erstelle bitte ein HijackThis und eScan log.

SPYWAREDOCTOR IST UNSERIÖS UND SOLLTE UNBEDINGT GELÖSCHT WERDEN ! ! !

Gruß

Undoreal

also ich versuch mein bestes :-)

den Spydoctor hab ich entfernt.

mein Virensacaner ist das Standardteil Anit Vir PE Classic,

es zeigt mir immer die Meldung: TR.Dldr.Alphabet.11776.8 in verbindung mit zwei dingen, entweder:

smanager.7.exe --> C:\Windows\smanager.7.exe

oder:

C:\Dokumente und Einstellungen\Besitzer.Desktop\Lokale Einstellungen\Temp\248125.exe
wobei sich bei diesem Problem immer wieder eine neue Datei aufruft, anstelle von 248125.exe kommt dann immer eine andere Zahl.exe

hier das HijackThis file:

[edit]
bitte editiere zukünftig deine links, wie es dir u.a. hier angezeigt wird:
http://www.trojaner-board.de/22771-a...tml#post171958

danke
GUA
[/edit]

Der Kopf des HJT logs fehlt! Bitte nachreichen.

Dann mache bitte folgendes

-Konfiguriere AntiVir aggressiv und update die Signaturen.

-Deaktiviere die Systemsteuerung auf allen Laufwerken

-Lasse cCleaner laufen.

-Schalte den Rechner aus.

-Starte den Rechner im abgesicherten Modus (F8 beim Hochfahren).

-Mache im abg. Modus einen kompletten Systemscan mit AntiVir und entferne alles was gefunden wird.

-Starte den Rechner normal und mache einen eScan nach Anleitung aus meiner Signatur!!!

-Poste ein neues HJT log.

Gruß

Undoreal

Hier der Kopf, ich schau nun mal was ich machen kann
Logfile of HijackThis v1.99.1
Scan saved at 15:28:32, on 19.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Danke fürs erste

ccleaner findet sehr viel Zeugs, was soll ich damit machen, alles löschen lassen? ich bin mir total unsicher

und wie inaktiviere ich denn die systemsteuerung, bzw. ist das unbedingt notwendig?

Gruß

Zitat:

ccleaner findet sehr viel Zeugs, was soll ich damit machen, alles löschen lassen? ich bin mir total unsicher

und wie inaktiviere ich denn die systemsteuerung, bzw. ist das unbedingt notwendig?

jo; alles weg machen. der legt eh Backups an. und die Registry bitte mehrmals bereinigen lassen.

Start->Systemsteuerung->System->Systemwiederherstellung.

Ok hab jetzt alles so gemacht wie beschrieben, allerdings kommt immernoch der Mist mit C:\Dokument und Einstellung ..... Rest des Pfads siehe oben

neues Hijack File lautet

Logfile of HijackThis v1.99.1
Scan saved at 20:05:59, on 19.05.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\WINDOWS\system32\avp.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\wuauclt.exe
C:\PROGRA~1\WINZIP\winzip32.exe
C:\unzipped\hijackthis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = h**p://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = h**p://search.bearshare.com/sidebar.html?src=ssb
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://de.yahoo.com/?.home=msgr
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = h**p://search.bearshare.com/sidebar.html?src=ssb
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = h**p://de.winantivirus.com/download/2006/uninstall
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {2E423643-0A5D-4A30-B703-F5A0E37142A4} - C:\WINDOWS\system32\gnvlpvvy.dll (file missing)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {55DB983C-BDBF-426f-86F0-187B02DDA39B} - C:\WINDOWS\system32\gojnvpis.dll (file missing)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: (no name) - {AD2A9E56-7D30-4DE7-B5BB-AD61F59AEE6C} - C:\WINDOWS\system32\awvtq.dll (file missing)
O2 - BHO: (no name) - {B1200915-EE21-4332-AFF6-BE86AFEAAED1} - C:\WINDOWS\system32\gnvlpvvy.dll (file missing)
O2 - BHO: (no name) - {BF2F7A07-D029-4F8E-A69B-DCB2A85761Fa} - C:\WINDOWS\system32\gnvlpvvy.dll (file missing)
O2 - BHO: (no name) - {F5518F95-D55C-4CBF-B871-D740E5AEF071} - C:\WINDOWS\system32\gnvlpvvy.dll (file missing)
O2 - BHO: (no name) - {F98FB51E-B13F-4B75-BE78-5A97D4FE2538} - C:\WINDOWS\system32\gnvlpvvy.dll (file missing)
O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Programme\ICQToolbar\toolbaru.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [LiveNote] livenote.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [runner1] C:\WINDOWS\retadpu1000272.exe 61A847B5BBF72813329B385475FB01F0B3E35B6638993F4661AA4EBD86D67C56389B284534F310F3D1DC7E4638E8323A15806F97BDE4417E70CE7C0726B954E2C2832210359926033AAC
O4 - HKLM\..\Run: [AnyDVD] C:\Programme\SlySoft\AnyDVD\AnyDVD.exe
O4 - HKLM\..\Run: [WindowsUpdate] rundll32.exe "C:\WINDOWS\system32\yblqnmup.dll",realset
O4 - HKLM\..\Run: [avp] C:\WINDOWS\system32\avp.exe
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [SDTray] "C:\Programme\Spyware Doctor\SDTrayApp.exe"
O4 - HKLM\..\Run: [SManager] smanager.7.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Programme\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {F919FBD3-A96B-4679-AF26-F551439BB5FD} - http://locator1.cdn.imagesrvr.com/si...rInstallDE.cab
O20 - Winlogon Notify: bfefaff - C:\WINDOWS\system32\bfefaff.dll
O20 - Winlogon Notify: winexz32 - C:\WINDOWS\
O20 - Winlogon Notify: wudb - C:\WINDOWS\system32\wudb.dll
O23 - Service: AntiVir PersonalEdition Classic Planer (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: %NVSVC.name% (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

Gruß

Gut, du saugst über Bearshare. Das Prog bringt nette kleine Plagegeister mit. Deinstalliere es und lasse CCleaner erneut laufen. Registry wieder mehrmals bereinigen.

Dann hast du einen Trojaner auf dem Rechner mache bitte folgendes:

-Erstelle einen iClean Report und poste ihn hier: Prog ausführen->"Yes"->File->Report->Inhald speichern und posten.

-Installiere TheCleaner, update das Prog und lasse es 2x laufen. Einmal im abgesicherten Modus und dann im normalen. Poste mal was so gefunden wird..

-Danach führst du bitte noch den eScan durch..

Gruß

Undoreal