Ich habe vor kurz etwas im Internet gesucht und bin auf eine Seite gestossen wo ich sofort einen Trojaner bekam, es installierte sofort das Virenprogramm Win antivirus 2007 auf meine Festplatte obwohl ich nichts bestätigen musste. seitdem ich dieses hatte bekam ich jeden Tag neue Trojaner und nach Prüfen dieses Programmes stellte sich heraus das dies auch ein Virus war, ich löschte alles und auch die Trojaner, aber das Programm mischt sich immer wieder ein und ich drücke auf Abbrechen.

Heute mache ich meinen PC an und da habe ich wieder einen Trojaner TR/Obfustat.A Und den bekomme ich absolut nicht zum löschen, habe adaware durchlaufen lassen, dann CCleaner und auch Spyware oder wie das heißt doch kein Programm findet diesen Trojaner obwohl er bei mir im system32 sitzt und ich kann Ihn ja auch sehen. Nur mein Antivirus findet dieses Ding und kann es nicht löschen.

Kann mir bitte jemand weiter helfen? denn ich weiß nicht mehr was ich machen soll

Hallo,

Deine Beschreibung ist zu ungenau das man jetzt schon "helfen" kann.
Poste deshalb nach dieser Anleitung ein sog. HJT
http://www.trojaner-board.de/17493-a...ijackthis.html

Bennene dabei die Hijackthis.exe in einen anderen Namen um.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:11:30, on 17.07.2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16473)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\ehome\ehtray.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\SysMonitor.exe
C:\Programme\Macrogaming\SweetIM\SweetIM.exe
C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\QuickTime\qttask.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\STK013\STK013M.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\eHome\ehRecvr.exe
C:\WINDOWS\eHome\ehSched.exe
C:\Programme\Google\Common\Google Updater\GoogleUpdaterService.exe
c:\Programme\Gemeinsame Dateien\LightScribe\LSSrvc.exe
C:\WINDOWS\Microsoft.NET\Framework\v1.1.4322\netfxupdate.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\eHome\ehmsas.exe
C:\WINDOWS\system32\dllhost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
C:\Programme\Java\jre1.5.0_10\bin\jucheck.exe

O2 - BHO: (no name) - {42e71056-6a4e-488c-a30c-ba1cf8424bff} - C:\WINDOWS\system32\ideotil.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.5.0_10\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [LaunchApp] Alaunch
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [IMEKRMIG6.1] C:\WINDOWS\ime\imkr6_1\IMEKRMIG.EXE
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe /normal-run2
O4 - HKLM\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.5.0_10\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\mav_startupmon.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SweetIM] C:\Programme\Macrogaming\SweetIM\SweetIM.exe
04 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Xfire.lnk = C:\Programme\Xfire\xfire.exe
O4 - Global Startup: Acer Empowering Technology.lnk = ?
O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O4 - Global Startup: STK013 PNP Monitor.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\ideotil.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\ideotil.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\ideotil.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5...ws-i586-jc.cab
O20 - Winlogon Notify: ideotil - C:\WINDOWS\SYSTEM32\ideotil.dll




So habe mal gemacht, hoffe das ist richtig so. die datei die sich ideotil.dll nennt kommt mehrmals vor und das ist der Trojaner. Und auch das Winantivirus sieht man obwohl ich es mehrmal gelöscht habe.

Zitat:

Zitat von roesle24

Ich habe vor kurz etwas im Internet gesucht und bin auf eine Seite gestossen wo ich sofort einen Trojaner bekam, es installierte sofort das Virenprogramm Win antivirus 2007 auf meine Festplatte obwohl ich nichts bestätigen musste.

Das deutet auf erhebliche Lücken in Deinem Sicherheitskonzept hin. So etwas [b}darf[/b] nicht passieren und sollte sollte bereits durch mehrere Stufen abgefangen werden:

1.) Aktuelles Betriebssystem
2.) Atueller Browser
3.) Aktuelle Plugins
4.) Sinnvolle Browserkonfiguration
5.) Sinnvolle Betriesbssystemkonfiguration inklusive Verwendung eines Benutzerkontos zum Surfen im Netz.

Zitat:

seitdem ich dieses hatte bekam ich jeden Tag neue Trojaner und nach Prüfen dieses Programmes stellte sich heraus das dies auch ein Virus war, ich löschte alles und auch die Trojaner, aber das Programm mischt sich immer wieder ein und ich drücke auf Abbrechen.

Wier kommst Du darauf, dass die Schädlinge gelöscht seien? Du meist dies vielleicht, der Fall ist es jedoch lange nicht!

Zitat:

Heute mache ich meinen PC an und da habe ich wieder einen Trojaner TR/Obfustat.A

Eben.

Zitat:

Und den bekomme ich absolut nicht zum löschen, habe adaware durchlaufen lassen, dann CCleaner und auch Spyware oder wie das heißt doch kein Programm findet diesen Trojaner obwohl er bei mir im system32 sitzt und ich kann Ihn ja auch sehen. Nur mein Antivirus findet dieses Ding und kann es nicht löschen.

Lies in diesem Zusammenhang bitte:
Computersicherheit - Virenscanner]Computersicherheit - Virenscanner]Computersicherheit
Homepage von Malte J. Wetz
Das Zauberwort heißt Vorbeugung und nicht Entfernung!

Dann wollen wir mal.

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Java\jre1.5.0_10\bin\jusched.exe
         

Veraltete Java-Version. Durch die nicht erfolgte Aktualisierung in den vergangenen Monaten hast Du damit Deinem System ein Sicherheitsloch beschert und unter anderem damit Schädlingen Tür und Tor geöffnet.

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\QuickTime\qttask.exe
         

Das gleiche gilt wahrscheinlich für Quicktime.

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
         

Auch noch so viele parallel auf dem System laufende Schutzprogramme können Versäumnisse bei der Systempflege und daraus resultierende Sicherheitslücken nicht hinreichend kompensieren!

Hast Du in der Vergangenheit wenigstens regelmäßig Windows-Updates gemacht? ODer fehlten auch sie dem System zum Zeitpunkt der Infektion?

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Internet Explorer\iexplore.exe
         

Wenn ja, dann wäre die Nutzung des Internet Explorers in diesem Zusammenhang noch problematischer.

Code: Alles auswählenAufklappen

ATTFilter

C:\Programme\Adobe\Acrobat 7.0\Reader\AcroRd32.exe
         

Wie stand es zum Zeitpunkt der Infektion um die Aktualität des Adobe Readers?

Code: Alles auswählenAufklappen

ATTFilter

O2 - BHO: (no name) - {42e71056-6a4e-488c-a30c-ba1cf8424bff} - C:\WINDOWS\system32\ideotil.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [Salestart] "C:\Programme\Gemeinsame Dateien\WinAntiVirus Pro 2007\mav_startupmon.exe"
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\ideotil.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\system32\ideotil.dll
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\ideotil.dll
O20 - Winlogon Notify: ideotil - C:\WINDOWS\SYSTEM32\ideotil.dll
         

Das sind allesamt Malware-Einträge.

Code: Alles auswählenAufklappen

ATTFilter

O4 - Global Startup: Acer WLAN 11g USB Dongle.lnk = C:\Programme\Acer WLAN 11g USB Dongle\ZDWlan.exe
         

Falls Du mit WLAN ins Internet gehst: Verwendest Du eine WPA2-Verschlüsselung für die Verbindung?

Code: Alles auswählenAufklappen

ATTFilter

O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
         

Hast Du zuletzt einmal Updates für Microsoft Office installiert?

Führe anschließend dieses Programm gemäß Anleitung aus:
SmitfraudFix.zip

Achtung, diese Maßnahme dient lediglich dazu, das auf diesem Wege Machbare zu entfernen - um ein Neuaufsetzen des Systems wirst Du jedoch nicht umhinkommen.

Allerdings solltest Du dieses Mal bessere Vorkehrungen treffen und versuchen, die Ursache für die Infektion herauszufinden. Wenn Du das Bisherige abgearbeitet hast, melde Dich wieder.

Oh gott das klingt alles so kompliziert, nun weiß ich garnichts mehr, ich soll alles aktualisieren? Ich dachte immer das ich gut geschützt bin habe ja alles mögliche das ich geschützt bin, aber sieht nicht so aus.

Zitat:

Zitat von roesle24

Oh gott das klingt alles so kompliziert, nun weiß ich garnichts mehr, ich soll alles aktualisieren?

Nicht jetzt! Das waren allgemeine Hinweise zum Schutz für später!

Zitat:

Ich dachte immer das ich gut geschützt bin habe ja alles mögliche das ich geschützt bin, aber sieht nicht so aus.

Nein, so wie derzeit, ist das System nicht gut geschützt.

Hast Du schon "SmitfraudFix.zip" verwendet?

Ja habe ich gerade gemacht, aber hat sich nichts geändert

gibt es denn gar keine Möglichkeit das Ding los zu werden? wenn ich meinen Computer neu mache geht mir sehr viel verloren an Programmen die ich nicht brennen kann

Programme darfst Du ohnehin nicht wiederverwenden - nur Daten, also Bilder, Texte, Musik, und so weiter. Aber von den Programmen und Installationsdateien, die sich derzeit auf der Festplatte mit dem verseuchten System befinden, musst Du leider Abstand nehmen.

Diese kann man sich dann später wieder über das Internet laden oder von den Original-Installations-CDs einspielen.

Also gibt es keine andere Möglichkeit als den Computer neu zu machen? *heul* es gibt soviele Programme und man kann es nicht löschen

Nicht heulen, , bitte etwas Geduld, ich erkläre es Dir.

Ok Danke Dir

Ich habe auch mal mit Virus total geprüft und es findet den Virus ideotil.dll auf meinen Pc, aber ich konnte den dort nicht löschen.

Wollte meinen Pc komplett neu machen, denhabe ich mir erst gekauft, und da gab es keine CD dazu sondern man musste die sélbst brennen am Anfang ( Die daten auf den PC), geht aber nicht neu zu machen oder zu formatieren.