hallo leutz !!

habe zur zeit das Problem dass bei mir Trojaner , nachdem AVir sie erkannt und geloescht hat staendig wiederkehren !! habe auch neuerdings PoP Ups die vorher nicht vorhanden waren !!!gibt es eine moeglichkeit den Kram ohne Neuinstallation loszuwerden ??

hier die bezeichnungen der Trojaner :

Winoy32.exe
YKDCV.dll
sdkqq.exe
sdkqk32.exe
d3uv.exe
mswh32.exe

hier das HijackThis LOg
Logfile of HijackThis v1.97.7
Scan saved at 13:11:16, on 24.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\System32\RunDll32.exe
C:\Programme\AntiVir\AVGNT.EXE
G:\WINDOWS\System32\RUNDLL32.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\quickTime\iTunesHelper.exe
G:\Programme\QuickTime\qttask.exe
G:\WINDOWS\system32\netlp.exe
C:\PROGRA~1\POPUPS~1\PSFree.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Norton\Norton Utilities\NPROTECT.EXE
G:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Norton\SPEEDD~1\nopdb.exe
G:\Programme\iPod\bin\iPodService.exe
G:\Programme\Internet Explorer\iexplore.exe
E:\download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
O2 - BHO: (no name) - {0CC3AF26-5714-A828-2601-9A013953335C} - G:\WINDOWS\system32\ipge32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\quickTime\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [netlp.exe] G:\WINDOWS\system32\netlp.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POPUPS~1\PSFree.exe"
O4 - HKLM\..\RunOnce: [winvs32.exe] G:\WINDOWS\system32\winvs32.exe
O4 - HKLM\..\RunOnce: [sdkco32.exe] G:\WINDOWS\system32\sdkco32.exe
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab
O16 - DPF: {33564D57-0000-0010-8000-00AA00389B71} - http://download.microsoft.com/downlo...22/wmv9VCM.CAB
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/s...sh/swflash.cab

waere sehr dankbar fuer jegliche hilfe oda hinweise !!!

Greetz

Befolge:

http://www.trojaner-board.de/42731-escan-anleitung.html

Dann hol dir die aktuelle Version von HijackThis und poste ein aktuelles Log. Im vorliegenden sind einige Dateien, die mit ziemlicher Sicherheit Schädlinge sind, Hijacker sind sowieso dabei. Welche Trojaner wurden denn von Antivir entdeckt, die befallenen Dateien nützen da weniger, die Namen der Trojaner sind wichtiger? Wen es "richtige" Trojaner waren und das, was sich hinter Dateien wie:

G:\WINDOWS\system32\netlp.exe
O2 - BHO: (no name) - {0CC3AF26-5714-A828-2601-9A013953335C} - G:\WINDOWS\system32\ipge32.dll
O4 - HKLM\..\Run: [netlp.exe] G:\WINDOWS\system32\netlp.exe
O4 - HKLM\..\RunOnce: [winvs32.exe] G:\WINDOWS\system32\winvs32.exe

versteckt, dann wahrscheinlich ebensolche sind, wäre eine Neuinstallation das Sicherste.

da steht ich soll es entpacken in C:/bases !! muss ich dieses verzeichnis erstellen oder ist das vorhanden in windows ??

so weit so gut !! entfernt E-Scan die Viren und aehnliches auch ??

Also der Trojaner scheint immer derselbe zu sein und zwar :TR/spy.tofger.Bl.2

und hier das aktuelle Log:

Logfile of HijackThis v1.98.2
Scan saved at 14:13:49, on 24.08.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
G:\WINDOWS\System32\smss.exe
G:\WINDOWS\system32\winlogon.exe
G:\WINDOWS\system32\services.exe
G:\WINDOWS\system32\lsass.exe
G:\WINDOWS\system32\svchost.exe
G:\WINDOWS\System32\svchost.exe
G:\WINDOWS\Explorer.EXE
G:\WINDOWS\system32\spoolsv.exe
G:\WINDOWS\System32\RunDll32.exe
C:\Programme\AntiVir\AVGNT.EXE
G:\WINDOWS\System32\RUNDLL32.EXE
G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe
C:\Programme\quickTime\iTunesHelper.exe
G:\Programme\QuickTime\qttask.exe
C:\PROGRA~1\POPUPS~1\PSFree.exe
C:\Programme\AntiVir\AVGUARD.EXE
C:\Programme\AntiVir\AVWUPSRV.EXE
C:\Programme\Norton\Norton Utilities\NPROTECT.EXE
G:\WINDOWS\System32\nvsvc32.exe
C:\PROGRA~1\Norton\SPEEDD~1\nopdb.exe
G:\Programme\iPod\bin\iPodService.exe
G:\Programme\Internet Explorer\iexplore.exe
G:\bases\mwavscan.com
G:\bases\kavss.exe
G:\WINDOWS\crbm32.exe
E:\download\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0CC3AF26-5714-A828-2601-9A013953335C} - G:\WINDOWS\system32\ipge32.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - G:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE G:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE G:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [NeroCheck] G:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [TkBellExe] G:\Programme\Gemeinsame Dateien\Real\Update_OB\evntsvc.exe -osboot
O4 - HKLM\..\Run: [iTunesHelper] C:\Programme\quickTime\iTunesHelper.exe
O4 - HKLM\..\Run: [QuickTime Task] "G:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [crbm32.exe] G:\WINDOWS\crbm32.exe
O4 - HKLM\..\RunOnce: [sdkco32.exe] G:\WINDOWS\system32\sdkco32.exe
O4 - HKLM\..\RunOnce: [sysix32.exe] G:\WINDOWS\sysix32.exe
O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\POPUPS~1\PSFree.exe"
O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab

Hallo Haze,

Zitat:

da steht ich soll es entpacken in C:/bases !! muss ich dieses verzeichnis erstellen oder ist das vorhanden in windows ??

so weit so gut !! entfernt E-Scan die Viren und aehnliches auch ??

bitte erstelle ein Verzeichnis c:\bases. eScan entfernt die Viren auch .. schau mal hier. Update eScan bitte online und scanne Deinen Computer damit offline im abgesicherten Modus. Wie Du das machen kannst, ist genau beschrieben in dem Link, den Dir MountainKing gegeben hat.

Poste bitte nach dem Scan ein weiteres Logfile mit HijackThis und lass uns wissen, was eScan auf Deinem System entfernt bzw. umbenannt hat.

Lieben Gruss
SD

Zitat:

Zitat von Shadowdance

Hallo Haze,



bitte erstelle ein Verzeichnis c:\bases. eScan entfernt die Viren auch .. schau mal hier. Update eScan bitte online und scanne Deinen Computer damit offline im abgesicherten Modus. Wie Du das machen kannst, ist genau beschrieben in dem Link, den Dir MountainKing gegeben hat.

Poste bitte nach dem Scan ein weiteres Logfile mit HijackThis und lass uns wissen, was eScan auf Deinem System entfernt bzw. umbenannt hat.

Lieben Gruss
SD

hmm hab E scan jetzt zum 2. mal laufen lassen und hab natuerlich beim ersten mal nicht drauf geachtet was alles entfernt bzw. umbenannt wurde !!! kann ich das im nachhinein noch abrufen ??
und das log was ich gepostet habe (das2.) ist das nach dem laufenlassen von E-Scan !!

Hallo Haze,

beim durchlesen Deines Logfiles habe ich jetzt erkannt, dass Du eScan bereits hast laufen lassen. Du hast allerdings das Verzeichnis 'bases' in G erstellt. Ob das dann funktioniert mit den updates, weiss ich nicht. Hattest Du im abgesicherten Modus offline gescannt? Das dauert normalerweise ca 1 Stunde ...

bitte fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://G:\WINDOWS\ykdcv.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {0CC3AF26-5714-A828-2601-9A013953335C} - G:\WINDOWS\system32\ipge32.dll

O4 - HKLM\..\Run: [crbm32.exe] G:\WINDOWS\crbm32.exe
O4 - HKLM\..\RunOnce: [sdkco32.exe] G:\WINDOWS\system32\sdkco32.exe
O4 - HKLM\..\RunOnce: [sysix32.exe] G:\WINDOWS\sysix32.exe

wenn Du diese Seiten nicht als "Trusted Zone" angegeben hast, solltest Du sie fixen:

O15 - Trusted Zone: *.05p.com
O15 - Trusted Zone: *.blazefind.com
O15 - Trusted Zone: *.clickspring.net
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.mt-download.com
O15 - Trusted Zone: *.my-internet.info
O15 - Trusted Zone: *.scoobidoo.com
O15 - Trusted Zone: *.searchbarcash.com
O15 - Trusted Zone: *.searchmiracle.com
O15 - Trusted Zone: *.slotch.com
O15 - Trusted Zone: *.xxxtoolbar.com

O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab

So hab ma das log durchsucht und hier sind die entfernten und umbenannten !!

File G:\WINDOWS\system32\netlp.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File Deleted.

File G:\WINDOWS\system32\ipge32.dll infected by "TrojanDownloader.Win32.Agent.an" Virus. Action Taken: File to be deleted on reboot.

Reg Key Software\Microsoft\Windows\CurrentVersion\explorer\Browser Helper Objects\{0CC3AF26-5714-A828-2601-9A013953335C} deleted because ImagePath file infected by a Virus

Reg Value SOFTWARE\Microsoft\Windows\CurrentVersion\Run\netlp.exe deleted because it is infected by a Virus

ERROR!!! Invalid Entry winvs32.exe = G:\WINDOWS\system32\winvs32.exe. Removing it.

File G:\WINDOWS\htpatch.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.

File G:\WINDOWS\mpvsys.exe infected by "TrojanDownloader.Win32.Small.nu" Virus. Action Taken: File Deleted.

File G:\WINDOWS\SiSUSBrg.exe infected by "TrojanDownloader.Win32.Agent.bc" Virus. Action Taken: File Deleted.

File C:\Programme\AntiVir\INFECTED\APPHQ.EXE.VIR infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

File C:\Programme\AntiVir\INFECTED\SDKJD32.EXE.VIR infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

File C:\Programme\AntiVir\INFECTED\SYSUV.EXE.VIR infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

File C:\Programme\AntiVir\INFECTED\WINPA.EXE.VIR infected by "TrojanDownloader.Win32.Agent.bq" Virus. Action Taken: File Deleted.

File C:\Programme\Norton\Norton CleanSweep\Backup\v26271.BUD infected by "not-a-virus:AdvWare.ToolBar.EliteBar.f" Virus. Action Taken: File Renamed.

File G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP48\A0013591.exe infected by "TrojanDownloader.Win32.Small.nu" Virus. Action Taken: File Deleted.

File G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP49\A0013606.exe infected by "TrojanDownloader.Win32.Small.nu" Virus. Action Taken: File Deleted.

G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP49\A0013652.exe possibly infected and removed by background antivirus package!

G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP49\A0013652.exe possibly infected and removed by background antivirus package!

File G:\System Volume Information\_restore{5AE3DD46-C63F-4325-9E8D-B120EF9FD090}\RP49\A0013652.exe infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

File G:\WINDOWS\crbm32.exe infected by "TrojanDownloader.Win32.Agent.cd" Virus. Action Taken: File to be deleted on reboot.

Hey shadowdance !!

hab bases in G erstellt weil da mein windows sitzt !!! falls es trotztdem in C muss sag ma Bescheid !! ansonsten WIE fixe ich diese Eintraege ?? bin der absolute PC Noob !!!

Ach ja das problem mit dem Trojaner ( glaub es war nur der TR/Spy.Tofger.Bl.2 ) scheint sich erledigt zu haben !!

Hallo Haze,

da ich momentan nicht herausfinden kann (zeitlich bedingt) welche Schäden diese Viren (Trojaner) auf Deinem System bereits angerichtet haben, möchte ich keinen weiteren Rat dazu erteilen. Ich übergebe Dich an meine Kollegen, die Dich weiter beraten können. Ich nehme an, dass es am sichersten wäre, wenn Du Dein System neu erstellst.

SD

Zitat:

Zitat von Shadowdance

Hallo Haze,

da ich momentan nicht herausfinden kann (zeitlich bedingt) welche Schäden diese Viren (Trojaner) auf Deinem System bereits angerichtet haben, möchte ich keinen weiteren Rat dazu erteilen. Ich übergebe Dich an meine Kollegen, die Dich weiter beraten können. Ich nehme an, dass es am sichersten wäre, wenn Du Dein System neu erstellst.

SD

Die Befuerchtung habe ich auch !!! hab mein System erst neu aufsetzen muessen !! aber Wie kann ich die Eintraege fixen die du meinst ??

Bases MUSS auf C erstellt werden, damit das Update funktioniert.
Fixen bedeutet, dass du in HijackThis die Einträge markierst und dann auf "fix checked" klickst.
Wenn du neu aufsetzt (wahrscheinlich das Beste), bitte von Anfang an beachten:

1.) Neu formatieren und installieren
2.) Ein eingeschränktes Benutzerkonto anlegen, mit dem gesurft wird, NICHT mit dem Administratorkonto ins Netz gehen
3). VOR der ersten Onlineverbindung die XP-Firewall für die Verbindung aktivieren
4.) Ebenfalls VOR dem Onlinegehen unnötige Dienste deaktivieren siehe www.dingens.org
5.) Danach zuerst www.windowsupdate.com besuchen und alle Updates installieren
6.) den IE nur noch für diese Updates verwenden, ansonsten auf einen alternativen Browser wie Opera oder firefox umsteigen
7.) Browser und emailprogramm (auch hier gibt es Alternativen zu Outlook wie Thunderbird, foxmail) sicher konfigurieren, keine aktiven Inhalte automatisch ausführen lassen (Active-Scripting, Active-X)
8.) Vorsichtig bleiben, nur wirklich als sicher bekannte mailanhänge öffnen, nur aus sicheren Quellen Programme herunterladen, ein Antivirenprogramm schadet auch nichts (Antivir ist kostenlos und halbwegs brauchbar), sollte aber nicht dazu verführen, sich grenzenlos darauf zu verlassen

OK werde ich dann wohl die Tage mal mein System neu aufsetzen

Auf jeden Fall vielen Dank fuer die schnelle Hilfe !! super sache das Board hier kann euch nur weiterempfehlen

Ach ja ein Update hat er gemacht auf G: wird das dann trotzdem nicht wirksam ??