Hallo,

mit DSL geht alles schneller... offenbar auch das einfangen von Viren, Würmern, Trojanern & CO

Ich habe mir etwas eingefangen, das weder von "AntiVir PE 6.27" noch von "AdAware SE 1.04" noch "Spybot S&D 1.3" vollständig beseitigt wird. Die genannten Programme finden ettliche Trojaner, nach einem Neustart und einem Klick ins Internet wird aber trotz "Startpage=about:blank", "Pop-Up Stopper 2.8" und "Zone Alarm 4.5" ein Pop-Up-Fenster geöffnet und der ganze Mist wieder runtergeladen.

Mit Start-Up habe ich schon haufenweise Einträge aus dem Startmenue gelöscht, die aber nach einem Internetbesuch immer wieder vereinzelt auftauchen:

ADDZU.EXE - C:\WINDOWS\ADDZU.EXE
D3GY.EXE - C:\WINDOWS\SYSTEM\D3GY.EXE
D3HM32.EXE - C:\WINDOWS\D3HM32.EXE
Internet Optimizer - C:\Internet Optimizer\optimize.exe
IST Service - C:\Programme\ISTsvc\istsvc.exe
JAVACL32.EXE - C:\WINDOWS\JAVACL32.EXE
msbb - c:\programme\180solutions\msbb.exe
NETIJ.EXE - C:\WINDOWS\SYSTEM\NETIJ.EXE
NETSX.EXE - C:\WINDOWS\NETSX.EXE
NTJU.EXE - C:\WINDOWS\SYSTEM\NTJU.EXE
rcizjict - C:\WINDOWS\SYSTEM\zufeor.exe
SDKKA32.EXE - C:\WINDOWS\SYSTEM\SDKKA32.EXE
SDKMJ.EXE - C:\WINDOWS\SYSTEM\SDKMJ.EXE
SYSML.EXE - C:\WINDOWS\SYSML.EXE
Ueou - C:\WINDOWS\Anwendungsdaten\rrop.exe
Ypr - C:\WINDOWS\SYSTEM\pfhni.exe


Mit Google habe ich schon nach den Programmen gesucht aber nicht alle gefunden und den Hauptverursacher, der den Müll immer wieder neulädt, leider auch nicht.

Ist euch vielleicht etwas bekannt und wie kann ich meinen PC ohne eine Neuinstallation vor dem Sch**ss schützen?

Poste ein Logfile von HijackThis und zwar komplett mit Angaben über das OS:

http://www.trojaner-board.de/51130-a...ijackthis.html

Wahrscheinlich ist dein System nicht gepatched und du hast dir Programme, die Spy und Adware entgalten, installiert, evtl. Schlimmeres. Welche Trojaner wurden wo gefunden?

Hi,

das Proggi HijackThis kannte ich noch nicht und es hat mir schon etwas weitergeholfen:
- es waren diverse Internetseiten in die "Vertrauenswürdige Seiten" eingetragen, die ich gleich gelöscht habe
- ein Proggi namens "APPBL.EXE" war noch in meinem Windows-Verzeichnis, das wiederum bei der ersten Benutzung des Internets ein Proggi "MSGF32.EXE" geladen hat, das allerdings von ZoneAlarm geblockt wurde.

Nach nochmaligen Scan von AdAware wurde dann der "Cool Web Search" gefunden und gleich gelöscht

Ich abeite unter WinME mit dem IE6 SP1 und DSL


Hier der aktuelle Log:

Logfile of HijackThis v1.98.2
Scan saved at 00:03:11, on 08.09.2004
Platform: Windows ME (Win9x 4.90.3000)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\MSTASK.EXE
C:\WINDOWS\SYSTEM\SSDPSRV.EXE
C:\WINDOWS\SYSTEM\STIMON.EXE
C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\PROGRAMME\ZONEALARM\ZLCLIENT.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE
C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAMME\POPUPSTOPPER\DPPS2.EXE
C:\WINDOWS\RunDLL.exe
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE
C:\PROGRAMME\ROXIO\DIRECTCD\DIRECTCD.EXE
C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE
C:\WINDOWS\SYSTEM\DDHELP.EXE
C:\PROGRAMME\WINZIP70\WINZIP32.EXE
C:\WINDOWS\TEMP\HIJACKTHIS.EXE

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://192.168.1.1
R3 - Default URLSearchHook is missing
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp
O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe
O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE"
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRAMME\POPUPSTOPPER\DPPS2.EXE"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe
O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe
O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE
O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service
O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY
O4 - Startup: WinProvex Autostart.lnk = C:\Programme\WINPROV\AUTOCAL.EXE
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm

Hallo h_klein,

- bitte im abgesicherten Modus mit Hijack This fixen

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://192.168.1.1
R3 - Default URLSearchHook is missing

O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit

O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm

- lade Dir bitte den eScan - entsprechend der Anleitung in diesem Thread runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung im Thread: Thread-6083

- teile uns dann bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus:

=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
=>Total Number of Disinfected Files:
=>Total Number of Files Renamed:
=>Total Number of Deleted Files:
=>Total Number of Errors:
***** Scanning complete. *****
=>Virus Database Date:
=>Virus Database Count:

- poste bitte ein neues Logfile.

SD

Danke Shadow,

Hier der LOG:

Wed Sep 08 09:44:18 2004 => File C:\WINDOWS\SYSTEM\tksrv98.exe infected by "TrojanDropper.Win32.Apent" Virus. Action Taken: File Deleted.
Wed Sep 08 09:41:43 2004 => File C:\WINDOWS\t3bT4K2.dll infected by "TrojanDownloader.Win32.Lemmy.q" Virus. Action Taken: File Deleted.

Wed Sep 08 11:04:27 2004 => Total Number of Files Scanned: 38277
Wed Sep 08 11:04:27 2004 => Total Number of Virus(es) Found: 89
Wed Sep 08 11:04:27 2004 => Total Number of Disinfected Files: 0
Wed Sep 08 11:04:27 2004 => Total Number of Files Renamed: 1
Wed Sep 08 11:04:27 2004 => Total Number of Deleted Files: 2
Wed Sep 08 11:04:27 2004 => Total Number of Errors: 1
Wed Sep 08 11:04:27 2004 => Time Elapsed: 01:19:59
Wed Sep 08 11:04:27 2004 => Virus Database Date: 2004/08/19
Wed Sep 08 11:04:27 2004 => Virus Database Count: 101270

Wed Sep 08 11:04:27 2004 => Scan Completed.


Die restlichen 87 Stellen waren alles "normale Programme", soweit ich gesehen habe...

Ich hoffe mein Compi ist nun wieder sauber!
Wahnsinn, da braucht man:

Virenscanner, Firewall, AdAware, SpyBot, CWShredder, HijackThis, Escan...

um im Internet surfen zu können, nur weil ein paar Leuten langweilig ist?
Vielleicht bringt mal einer ein Tool raus, dass den Authoren der Schädlingsprogrammen die E**r abfaulen lässt!!!

Viele Grüße
h_klein


PS: Ich habe nur Punkt "R3" gefixed

O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit
---> sind die Settings meiner NVIDA Grafikkarte

O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm
O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm
O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm
O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm
O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm
O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm
O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm
---> sind nützliche Kontexterweiterungen für den Interenet Explorer namens Web Accessories

O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm
O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm
---> sind Kontexterweiterungen von dem GetRight-Downloadmanager