|
Plagegeister aller Art und deren Bekämpfung: Hilfe! Trojaner übernehmen meinen PC!Windows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
07.09.2004, 15:37 | #1 |
| Hilfe! Trojaner übernehmen meinen PC! Hallo, mit DSL geht alles schneller... offenbar auch das einfangen von Viren, Würmern, Trojanern & CO Ich habe mir etwas eingefangen, das weder von "AntiVir PE 6.27" noch von "AdAware SE 1.04" noch "Spybot S&D 1.3" vollständig beseitigt wird. Die genannten Programme finden ettliche Trojaner, nach einem Neustart und einem Klick ins Internet wird aber trotz "Startpage=about:blank", "Pop-Up Stopper 2.8" und "Zone Alarm 4.5" ein Pop-Up-Fenster geöffnet und der ganze Mist wieder runtergeladen. Mit Start-Up habe ich schon haufenweise Einträge aus dem Startmenue gelöscht, die aber nach einem Internetbesuch immer wieder vereinzelt auftauchen: ADDZU.EXE - C:\WINDOWS\ADDZU.EXE D3GY.EXE - C:\WINDOWS\SYSTEM\D3GY.EXE D3HM32.EXE - C:\WINDOWS\D3HM32.EXE Internet Optimizer - C:\Internet Optimizer\optimize.exe IST Service - C:\Programme\ISTsvc\istsvc.exe JAVACL32.EXE - C:\WINDOWS\JAVACL32.EXE msbb - c:\programme\180solutions\msbb.exe NETIJ.EXE - C:\WINDOWS\SYSTEM\NETIJ.EXE NETSX.EXE - C:\WINDOWS\NETSX.EXE NTJU.EXE - C:\WINDOWS\SYSTEM\NTJU.EXE rcizjict - C:\WINDOWS\SYSTEM\zufeor.exe SDKKA32.EXE - C:\WINDOWS\SYSTEM\SDKKA32.EXE SDKMJ.EXE - C:\WINDOWS\SYSTEM\SDKMJ.EXE SYSML.EXE - C:\WINDOWS\SYSML.EXE Ueou - C:\WINDOWS\Anwendungsdaten\rrop.exe Ypr - C:\WINDOWS\SYSTEM\pfhni.exe Mit Google habe ich schon nach den Programmen gesucht aber nicht alle gefunden und den Hauptverursacher, der den Müll immer wieder neulädt, leider auch nicht. Ist euch vielleicht etwas bekannt und wie kann ich meinen PC ohne eine Neuinstallation vor dem Sch**ss schützen? |
07.09.2004, 16:01 | #2 |
| Hilfe! Trojaner übernehmen meinen PC! Poste ein Logfile von HijackThis und zwar komplett mit Angaben über das OS:
__________________http://www.trojaner-board.de/51130-a...ijackthis.html Wahrscheinlich ist dein System nicht gepatched und du hast dir Programme, die Spy und Adware entgalten, installiert, evtl. Schlimmeres. Welche Trojaner wurden wo gefunden? |
07.09.2004, 23:15 | #3 |
| Hilfe! Trojaner übernehmen meinen PC! Hi,
__________________das Proggi HijackThis kannte ich noch nicht und es hat mir schon etwas weitergeholfen: - es waren diverse Internetseiten in die "Vertrauenswürdige Seiten" eingetragen, die ich gleich gelöscht habe - ein Proggi namens "APPBL.EXE" war noch in meinem Windows-Verzeichnis, das wiederum bei der ersten Benutzung des Internets ein Proggi "MSGF32.EXE" geladen hat, das allerdings von ZoneAlarm geblockt wurde. Nach nochmaligen Scan von AdAware wurde dann der "Cool Web Search" gefunden und gleich gelöscht Ich abeite unter WinME mit dem IE6 SP1 und DSL Hier der aktuelle Log: Logfile of HijackThis v1.98.2 Scan saved at 00:03:11, on 08.09.2004 Platform: Windows ME (Win9x 4.90.3000) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE C:\WINDOWS\SYSTEM\RNAAPP.EXE C:\WINDOWS\SYSTEM\TAPISRV.EXE C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\PROGRAMME\ZONEALARM\ZLCLIENT.EXE C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE C:\PROGRAMME\POPUPSTOPPER\DPPS2.EXE C:\WINDOWS\RunDLL.exe C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\PROGRAMME\T-DSL SPEEDMANAGER\TSMSVC.EXE C:\PROGRAMME\ROXIO\DIRECTCD\DIRECTCD.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\PROGRAMME\WINZIP70\WINZIP32.EXE C:\WINDOWS\TEMP\HIJACKTHIS.EXE R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://192.168.1.1 R3 - Default URLSearchHook is missing O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [Tweak UI 1.33 deutsch] RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp O4 - HKLM\..\Run: [Zone Labs Client] C:\PROGRA~1\ZONEAL~1\zlclient.exe O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O4 - HKLM\..\Run: [T-DSL SpeedMgr] "C:\PROGRAMME\T-DSL SPEEDMANAGER\SPEEDMGR.EXE" O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAMME\AVPERSONAL\AVGCTRL.EXE /min O4 - HKLM\..\Run: [Pop-Up Stopper] "C:\PROGRAMME\POPUPSTOPPER\DPPS2.EXE" O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] mstask.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service O4 - HKCU\..\Run: [Taskbar Display Controls] RunDLL deskcp16.dll,QUICKRES_RUNDLLENTRY O4 - Startup: WinProvex Autostart.lnk = C:\Programme\WINPROV\AUTOCAL.EXE O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm |
08.09.2004, 06:40 | #4 |
| Hilfe! Trojaner übernehmen meinen PC! Hallo h_klein, - bitte im abgesicherten Modus mit Hijack This fixen R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,AutoConfigURL = http://192.168.1.1 R3 - Default URLSearchHook is missing O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm - lade Dir bitte den eScan - entsprechend der Anleitung in diesem Thread runter, erstelle einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Du findest eine genaue, bebilderte Anleitung im Thread: Thread-6083 - teile uns dann bitte NUR das Ergebnis des eScan mit: wieviel Viren wurden auf Deinem Rechner gefunden, wie heißen die Viren, wieviele Viren wurden gelöscht, wieviele Dateien wurden umbenannt - es sieht so aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: =>Total Number of Disinfected Files: =>Total Number of Files Renamed: =>Total Number of Deleted Files: =>Total Number of Errors: ***** Scanning complete. ***** =>Virus Database Date: =>Virus Database Count: - poste bitte ein neues Logfile. SD |
08.09.2004, 18:00 | #5 |
| Hilfe! Trojaner übernehmen meinen PC! Danke Shadow, Hier der LOG: Wed Sep 08 09:44:18 2004 => File C:\WINDOWS\SYSTEM\tksrv98.exe infected by "TrojanDropper.Win32.Apent" Virus. Action Taken: File Deleted. Wed Sep 08 09:41:43 2004 => File C:\WINDOWS\t3bT4K2.dll infected by "TrojanDownloader.Win32.Lemmy.q" Virus. Action Taken: File Deleted. Wed Sep 08 11:04:27 2004 => Total Number of Files Scanned: 38277 Wed Sep 08 11:04:27 2004 => Total Number of Virus(es) Found: 89 Wed Sep 08 11:04:27 2004 => Total Number of Disinfected Files: 0 Wed Sep 08 11:04:27 2004 => Total Number of Files Renamed: 1 Wed Sep 08 11:04:27 2004 => Total Number of Deleted Files: 2 Wed Sep 08 11:04:27 2004 => Total Number of Errors: 1 Wed Sep 08 11:04:27 2004 => Time Elapsed: 01:19:59 Wed Sep 08 11:04:27 2004 => Virus Database Date: 2004/08/19 Wed Sep 08 11:04:27 2004 => Virus Database Count: 101270 Wed Sep 08 11:04:27 2004 => Scan Completed. Die restlichen 87 Stellen waren alles "normale Programme", soweit ich gesehen habe... Ich hoffe mein Compi ist nun wieder sauber! Wahnsinn, da braucht man: Virenscanner, Firewall, AdAware, SpyBot, CWShredder, HijackThis, Escan... um im Internet surfen zu können, nur weil ein paar Leuten langweilig ist? Vielleicht bringt mal einer ein Tool raus, dass den Authoren der Schädlingsprogrammen die E**r abfaulen lässt!!! Viele Grüße h_klein PS: Ich habe nur Punkt "R3" gefixed O4 - HKLM\..\Run: [NvColorInit] RUNDLL32.EXE NVQTWK.DLL,NvColorInit ---> sind die Settings meiner NVIDA Grafikkarte O8 - Extra context menu item: Open Frame in &New Window - C:\WINDOWS\WEB\frm2new.htm O8 - Extra context menu item: &Highlight - C:\WINDOWS\WEB\highlight.htm O8 - Extra context menu item: &Web Search - C:\WINDOWS\WEB\selsearch.htm O8 - Extra context menu item: &Links List - C:\WINDOWS\WEB\urllist.htm O8 - Extra context menu item: Zoom &In - C:\WINDOWS\WEB\zoomin.htm O8 - Extra context menu item: Zoom O&ut - C:\WINDOWS\WEB\zoomout.htm O8 - Extra context menu item: I&mages List - C:\WINDOWS\Web\imglist.htm ---> sind nützliche Kontexterweiterungen für den Interenet Explorer namens Web Accessories O8 - Extra context menu item: Download with GetRight - C:\Programme\GetRight\GRdownload.htm O8 - Extra context menu item: Open with GetRight Browser - C:\Programme\GetRight\GRbrowse.htm ---> sind Kontexterweiterungen von dem GetRight-Downloadmanager Geändert von h_klein (08.09.2004 um 23:54 Uhr) |
Themen zu Hilfe! Trojaner übernehmen meinen PC! |
about, about:blank, adaware, antivir, bla, blank, c:\windows, dsl, gelöscht, gen, google, hilfe, hilfe!, immer wieder, internet, klick, neuinstallation, neustart, pop-up, programme, spybot, system, trojaner, träge, viren, windows, würmer, zone, zone alarm |