Zurück   Trojaner-Board > Malware entfernen > Plagegeister aller Art und deren Bekämpfung
Neuer Virus?

Neuer Virus?


Plagegeister aller Art und deren Bekämpfung: Neuer Virus?

Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen.

Antwort
Alt 26.08.2004, 16:12   #1
Deavlok
 
Neuer Virus? - Standard

Neuer Virus?


Hallo ich habe ein großes problem und zwar habe ich 3 Viren auf dem PC und es klingt bei mir nach Browserhighjacking. Ich habe Windows 2000 und immer wenn ich den Internetexplorer öffne ode rihn benutze zeigt mir Antivir(neu geupdated) einen Trojaner:
TR/Dldr.Agent.AP.2
Der erscheint aber immer wieder. Ich hab schon mit Highjck This gescanned und auch schon gefixed alles was "böse" ist es geht aber nicht weg und die von Highjackthis gefixeten Dateien sind nach einiger Zeit wieder da....
Hier mein Log:
Logfile of HijackThis v1.97.7
Scan saved at 17:11:27, on 26.08.2004
Platform: Windows 2000 SP2 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
D:\Programme\Antivir\AVGNT.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
C:\WINNT\msyp32.exe
D:\Programme\Office\OSA.EXE
C:\Programme\iPod\bin\iPodService.exe
D:\Mousometer\mousometer.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Antivir\AVGUARD.EXE
D:\Programme\Steam\Steam.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sebastian Will\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {CF0E5B4A-432E-442B-BCA0-6E2E2FB9E742} - C:\WINNT\appoc.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Adstartup] C:\WINNT\System32\automove.exe
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\Antivir\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [msyp32.exe] C:\WINNT\msyp32.exe
O4 - HKCU\..\Run: [ClockSync] "C:\Programme\ClockSync\Sync.exe" /q
O4 - HKLM\..\RunOnce: [appqd32.exe] C:\WINNT\appqd32.exe
O4 - HKLM\..\RunOnce: [ntjg32.exe] C:\WINNT\system32\ntjg32.exe
O4 - Startup: Mousometer.lnk = D:\Mousometer\mousometer.exe
O4 - Startup: SpywareGuard.lnk = D:\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = D:\Programme\Office\OSA.EXE
O9 - Extra button: ICQ Pro (HKLM)
O9 - Extra 'Tools' menuitem: ICQ (HKLM)
O9 - Extra button: ICQ 4.1 (HKLM)
O9 - Extra 'Tools' menuitem: ICQ Lite (HKLM)
O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/s...irector/sw.cab
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload.macromedia.com/pub...sh/swflash.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab


Bitte helft mir ich qweiß nicht mehr weiter

Alt 26.08.2004, 16:39   #2
Cidre
Administrator, a.D.
 
Neuer Virus? - Standard

Neuer Virus?


Hallo,

Das eScan AV Toolkit (mwav.exe) herunterladen, die Datei in den Ordner "c:\Bases" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.
http://www.mwti.net/antivirus/free_utilities.asp

Beende diese Prozesse:
C:\WINNT\msyp32.exe

Fixe diese Einträge:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINNT\system32\yasrx.dll/sp.html#29126
O2 - BHO: (no name) - {CF0E5B4A-432E-442B-BCA0-6E2E2FB9E742} - C:\WINNT\appoc.dll
O4 - HKLM\..\Run: [Adstartup] C:\WINNT\System32\automove.exe
O4 - HKLM\..\Run: [msyp32.exe] C:\WINNT\msyp32.exe
O4 - HKLM\..\RunOnce: [appqd32.exe] C:\WINNT\appqd32.exe
O4 - HKLM\..\RunOnce: [ntjg32.exe] C:\WINNT\system32\ntjg32.exe

Wechsle in den abgesicherten Modus und lösche diese Dateien:
C:\WINNT\System32\automove.exe
C:\WINNT\msyp32.exe
C:\WINNT\appqd32.exe
C:\WINNT\system32\ntjg32.exe
C:\WINNT\appoc.dll
C:\WINNT\system32\yasrx.dll

- mit eScan scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan clean" klicken.)
- Neustart
- neue Startseite vergeben
- dein System updaten http://v5.windowsupdate.microsoft.co...r/default.aspx
- neues Log-File von HiJackThis(neue Version 1.98.2 runterladen) und Virus Log Information von eScan posten
__________________

__________________
Alt 26.08.2004, 16:47   #3
MountainKing
 
Neuer Virus? - Standard

Neuer Virus?


Besorg dir eine aktuelle Version von HijackThis und Escan (s.u. und führe ein Update dafür durch wie beschrieben) dann fixe:


C:\WINNT\msyp32.exe

alle R1-Einträge außer:
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank

O2 - BHO: (no name) - {CF0E5B4A-432E-442B-BCA0-6E2E2FB9E742} - C:\WINNT\appoc.dll
O4 - HKLM\..\Run: [Adstartup] C:\WINNT\System32\automove.exe
O4 - HKLM\..\Run: [msyp32.exe] C:\WINNT\msyp32.exe
O4 - HKLM\..\RunOnce: [appqd32.exe] C:\WINNT\appqd32.exe
O4 - HKLM\..\RunOnce: [ntjg32.exe] C:\WINNT\system32\ntjg32.exe
O16 - DPF: {469C7080-8EC8-43A6-AD97-45848113743C} - http://akamai.downloadv3.com/binaries/IA/nethv32_EN.cab

Starte in den abgesicherten Modus, lösche die in den obigen Einträgen vorhanden exe und dll-dateien, so du sie findest (in den Optionen die Ansicht für alle Dateien und Ordner aktivieren). Dann scanne mit E-scan noch im angesicherten Modus wie angegeben nach Update:

http://www.trojaner-board.de/42731-escan-anleitung.html

Starte wieder in den Normalmodus und poste ein neues Log.
Wie es aussieht laufen bei dir eine Reihe von Backdoorprogrammen, wenn du genügend Erfahrung damit hast oder jemand, der sich auskennt, an der Hand ist, wäre eine komplette Neuinstallation das Sicherste. Auf jeden Fall solltest du zu einem alternativen Browser (Opera,firefox, Mozilla) wechseln, deine Surfgewohnheiten überdenken (Download aus unsicheren Quellen) aktive Inhalte wie Active-X und Java-Script deaktivieren außer für definitiv sichere Seiten und dein Windows regelmäßig auf den neuesten Stand bringen (kenne mich mit 2000 nicht aus, aber ich glaube, bei dir fehlen eine Reihe Patches).
__________________
Alt 26.08.2004, 21:02   #4
Deavlok
 
Neuer Virus? - Standard

Neuer Virus?


So danke euch euch erstmal für die Hilfe.
Die besagten exe dateien, die ich im abgesicherten modus löschen sollte, habe ich nicht gefunden jedoch die .dll dateien.
Hier das neue Highjackthis log:
Logfile of HijackThis v1.98.2
Scan saved at 21:57:32, on 26.08.2004
Platform: Windows 2000 SP4 (WinNT 5.00.2195)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINNT\System32\smss.exe
C:\WINNT\system32\winlogon.exe
C:\WINNT\system32\services.exe
C:\WINNT\system32\lsass.exe
C:\WINNT\system32\svchost.exe
C:\WINNT\system32\spoolsv.exe
D:\Programme\Antivir\AVGUARD.EXE
D:\Programme\Antivir\AVWUPSRV.EXE
C:\WINNT\System32\svchost.exe
C:\WINNT\System32\nvsvc32.exe
C:\WINNT\system32\regsvc.exe
C:\WINNT\system32\MSTask.exe
C:\WINNT\System32\WBEM\WinMgmt.exe
C:\WINNT\Explorer.EXE
C:\WINNT\system32\svchost.exe
C:\Programme\Analog Devices\SoundMAX\Smtray.exe
D:\Programme\Antivir\AVGNT.EXE
C:\Programme\Microsoft IntelliPoint\point32.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
D:\Programme\iTunes\iTunesHelper.exe
D:\PROGRA~1\ICQ\ICQ.exe
D:\Programme\Office\OSA.EXE
D:\Mousometer\mousometer.exe
D:\SpywareGuard\sgmain.exe
C:\Programme\iPod\bin\iPodService.exe
D:\SpywareGuard\sgbhp.exe
C:\Programme\Internet Explorer\IEXPLORE.EXE
C:\Dokumente und Einstellungen\Sebastian Will\Desktop\HijackThis.exe

R3 - Default URLSearchHook is missing
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O3 - Toolbar: @msdxmLC.dll,-1@1031,&Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx
O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\Smtray.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe
O4 - HKLM\..\Run: [AVGCtrl] "D:\Programme\Antivir\AVGNT.EXE" /min
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINNT\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "D:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [IntelliPoint] "C:\Programme\Microsoft IntelliPoint\point32.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [iTunesHelper] D:\Programme\iTunes\iTunesHelper.exe
O4 - HKLM\..\Run: [AVSCHED32] D:\Programme\Antivir\AVSCHED32.EXE /min
O4 - Startup: Mousometer.lnk = D:\Mousometer\mousometer.exe
O4 - Startup: SpywareGuard.lnk = D:\SpywareGuard\sgmain.exe
O4 - Global Startup: Microsoft-Indexerstellung.lnk = D:\Programme\Office\FINDFAST.EXE
O4 - Global Startup: Office-Start.lnk = D:\Programme\Office\OSA.EXE
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O16 - DPF: {68BCE50A-DC9B-4519-A118-6FDA19DB450D} (Info Class) - http://www.wow-europe.com/signup/de/wowbeta/Si.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O16 - DPF: {F58E1CEF-A068-4C15-BA5E-587CAF3EE8C6} (MSN Chat Control 4.5) - http://chat.msn.com/bin/msnchat45.cab


Und wegen dem Escan log das ganze??oder nur den Viruslog??
Weil das ganze ist ein bisschen groß oder?

Der Virus wurde schonmal entfernt und dafür danke ich euch vom ganzen Herzen

Jedoch habe ich noch eine Frage bei mir jetzt jede Internetseite als "Vertrauenswürdig" erklärt ist da noch etwas drauf ode muss ich nur etwas umstellen.

Antwort

Themen zu Neuer Virus?
adobe, antivir, avg, bho, desktop, einstellungen, explorer, highjackthis, hijack, hijackthis, internet explorer, log, mein log, microsoft, neu, nvcpl.dll, object, problem, programme, rundll, shockwave, software, system, trojaner, viren, virus, virus?, windows


« Antivir und ZoneAlarm lassen sich nicht mehr starten - Wurm??? | TR Prob »


Ähnliche Themen: Neuer Virus?


  1. neuer gvu virus mit otl.text
    Log-Analyse und Auswertung - 26.01.2013 (6)
  2. Neuer Msn-virus~
    Plagegeister aller Art und deren Bekämpfung - 25.08.2010 (23)
  3. Vermutlich neuer ICQ Virus
    Plagegeister aller Art und deren Bekämpfung - 24.06.2010 (4)
  4. fla383.tmp neuer Virus ?
    Log-Analyse und Auswertung - 23.05.2010 (1)
  5. Neuer Grybird Virus??
    Plagegeister aller Art und deren Bekämpfung - 11.07.2009 (2)
  6. Neuer MSN-Virus?
    Plagegeister aller Art und deren Bekämpfung - 21.09.2008 (17)
  7. Neuer MSN - Virus HELP !
    Plagegeister aller Art und deren Bekämpfung - 08.08.2007 (3)
  8. neuer msn virus
    Mülltonne - 30.07.2007 (2)
  9. neuer icq virus
    Log-Analyse und Auswertung - 01.06.2007 (2)
  10. neuer virus?
    Plagegeister aller Art und deren Bekämpfung - 27.05.2005 (7)
  11. ein neuer virus?
    Plagegeister aller Art und deren Bekämpfung - 30.10.2004 (3)
  12. Neuer Virus, oder was ist da los?!?
    Plagegeister aller Art und deren Bekämpfung - 13.05.2004 (17)
  13. Neuer Virus?
    Mülltonne - 16.04.2004 (1)
  14. Neuer Virus?
    Plagegeister aller Art und deren Bekämpfung - 01.03.2004 (5)
  15. Neuer Virus
    Plagegeister aller Art und deren Bekämpfung - 19.01.2004 (2)
  16. neuer Virus freitag. 13. ??
    Plagegeister aller Art und deren Bekämpfung - 25.06.2003 (13)
Anleitungen und Tipps

- Für alle Hilfesuchenden! Was beachten?

- Anleitung: MyStartSearch.com entfernen

- Anleitung: WebSearches löschen

- Hilfe: iStartSurf entfernen – so gehts!

- Anleitung: Omiga Plus richtig entfernen

- Browser Viren entfernen


Zum Thema Neuer Virus? - Hallo ich habe ein großes problem und zwar habe ich 3 Viren auf dem PC und es klingt bei mir nach Browserhighjacking. Ich habe Windows 2000 und immer wenn ich - Neuer Virus?...
Archiv
Du betrachtest: Neuer Virus? auf Trojaner-Board

Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55