|
Plagegeister aller Art und deren Bekämpfung: Hilfe Tojaner-ProblemWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
03.10.2004, 19:59 | #1 |
| Hilfe Tojaner-Problem Werde Trojaner nicht mehr los, komme immerwieder auf Cool Search Interntseite obwohl ich diese laufend lösche und in Zeitabständen zeigt mein Virenschutz (f-secure) immer mehrere Trojaner an, die er ümbenennt oder löscht und trtzden sind sie weiter vorhanden. Logfile of HijackThis v1.98.2 Scan saved at 20:37:40, on 03.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe C:\Programme\F-Secure\Common\FSM32.EXE C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\F-Secure\Common\FSMB32.EXE C:\WINDOWS\System32\svchost.exe D:\Programme\Logitech\Key\iTouch\iTouch.exe C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE D:\programme\zubehör\powerstrip\pstrip.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\Zubehör\Viritual CloneDrive\VirtualCloneDrive\VCDDaemon.exe D:\Programme\Logitech\Maus\MouseWare\system\em_exec.exe C:\WINDOWS\System32\windows\services.exe C:\WINDOWS\System32\RunDll32.exe C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Heinz Hubmann\Anwendungsdaten\eeas.exe C:\Programme\F-Secure\Common\FNRB32.EXE C:\Programme\MSI\Core Center\CoreCenter.exe D:\Programme\GRAFIK\HC\hardcopy.exe C:\Programme\F-Secure\Common\FIH32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\Programme\F-Secure\FWES\Program\fsdfwd.exe C:\Dokumente und Einstellungen\Heinz Hubmann\over.exe C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Windows SyncroAd\WinSync.exe c:\temp\msbb.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Heinz Hubmann\Desktop\Neuer Ordner\Neuer Ordner\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.reptilien.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://www.findin.org/ R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\rundlg32.dll O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81C3A} - C:\WINDOWS\EliteBar\EliteBar version 51.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\Key\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PowerStrip] d:\programme\zubehör\powerstrip\pstrip.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\Zubehör\Viritual CloneDrive\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [grcv] C:\WINDOWS\grcv.exe O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe O4 - HKLM\..\Run: [yvit] C:\WINDOWS\yvit.exe O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [hkvwd] C:\WINDOWS\hkvwd.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [ydkxah] C:\WINDOWS\ydkxah.exe O4 - HKLM\..\RunOnce: [djtopr1150.exe] "C:\DOKUME~1\HEINZH~1\LOKALE~1\Temp\djtopr1150.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Naos] C:\Dokumente und Einstellungen\Heinz Hubmann\Anwendungsdaten\eeas.exe O4 - Startup: Hardcopy.LNK = D:\Programme\GRAFIK\HC\hardcopy.exe O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com O16 - DPF: v2cab - http://searchmiracle.com/cab/v2cab.cab O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...7510b28ebf1261 O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab Weis jemand Rat? LG. |
03.10.2004, 20:21 | #2 |
| Hilfe Tojaner-Problem Hallo reptilien,
__________________downloade das Programm eScan, erstelle dafür einen Ordner (=Verzeichnis) c:\bases, update den eScan online und führe ihn offline im abgesicherten Modus aus. Anleitung hier: Thread-6083 Teile uns mit wieviel Viren auf Deinem Rechner gefunden wurden, wie sie heißen, wieviele Viren gelöscht, wieviele Dateien umbenannt wurden. Poste ein neues Logfile. SD |
03.10.2004, 21:14 | #3 |
| Hilfe Tojaner-Problem @Shadowdance - habe soeben mit reptilien tel. - der scan wird noch länger brauchen. er sagte, das das er das logfile am vormittag posten wird.
__________________danke schon mal für die hilfe! Geändert von copperfield (03.10.2004 um 22:23 Uhr) |
04.10.2004, 08:18 | #4 |
| Hilfe Tojaner-Problem Habe escan im abges. modus durchlaufen lassen- es wurden 131 Viren ermittelt. es sind meines erachtens auch alte Viren dabei, die gelöscht od umbenannt wurden. Das Problem scheint auf C:\zu liegen? LG Logfile of HijackThis v1.98.2 Scan saved at 09:07:36, on 04.10.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\System32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\Explorer.EXE C:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE C:\Programme\F-Secure\Anti-Virus\fsgk32st.exe C:\Programme\F-Secure\Anti-Virus\FSGK32.EXE C:\Programme\F-Secure\BackWeb\7681197\program\fsbwsys.exe C:\Programme\F-Secure\Common\FSMA32.EXE C:\WINDOWS\SYSTEM32\GEARSEC.EXE C:\Programme\F-Secure\Anti-Virus\fssm32.exe C:\Programme\F-Secure\Common\FSMB32.EXE C:\WINDOWS\System32\svchost.exe C:\Programme\F-Secure\Common\FCH32.EXE C:\Programme\F-Secure\Common\FAMEH32.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\Programme\F-Secure\Common\FSM32.EXE C:\Programme\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe D:\Programme\Logitech\Key\iTouch\iTouch.exe D:\programme\zubehör\powerstrip\pstrip.exe C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe D:\Programme\Zubehör\Viritual CloneDrive\VirtualCloneDrive\VCDDaemon.exe C:\WINDOWS\System32\windows\services.exe C:\WINDOWS\System32\RunDll32.exe D:\Programme\Logitech\Maus\MouseWare\system\em_exec.exe C:\temp\msbb.exe C:\Programme\F-Secure\Common\FNRB32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\Messenger\msmsgs.exe C:\Dokumente und Einstellungen\Heinz Hubmann\Anwendungsdaten\eeas.exe C:\Programme\F-Secure\Common\FIH32.EXE C:\Programme\F-Secure\Anti-Virus\fsav32.exe C:\Programme\MSI\Core Center\CoreCenter.exe C:\Programme\F-Secure\FWES\Program\fsdfwd.exe D:\Programme\GRAFIK\HC\hardcopy.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\Programme\Internet Explorer\iexplore.exe C:\WINDOWS\System32\mshta.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Heinz Hubmann\Desktop\Neuer Ordner\Neuer Ordner\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\rundlg32.dll O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 52.dll O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 52.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programme\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programme\F-Secure\TNB\TNBUtil.exe" /CHECKALL O4 - HKLM\..\Run: [zBrowser Launcher] D:\Programme\Logitech\Key\iTouch\iTouch.exe O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PowerStrip] d:\programme\zubehör\powerstrip\pstrip.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [VirtualCloneDrive] "D:\Programme\Zubehör\Viritual CloneDrive\VirtualCloneDrive\VCDDaemon.exe" /s O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe O4 - HKLM\..\Run: [SetCacheMode] Rundll32.exe ptipbmf.dll,SetWriteCacheMode O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKLM\..\Run: [alivqp] C:\WINDOWS\alivqp.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [Naos] C:\Dokumente und Einstellungen\Heinz Hubmann\Anwendungsdaten\eeas.exe O4 - Startup: Hardcopy.LNK = D:\Programme\GRAFIK\HC\hardcopy.exe O4 - Global Startup: CoreCenter.lnk = C:\Programme\MSI\Core Center\CoreCenter.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://D:\PROGRA~1\OFFICE~1\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\PROGRA~1\OFFICE~1\OFFICE11\REFIEBAR.DLL O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com |
04.10.2004, 08:39 | #5 | |
| Hilfe Tojaner-Problem Hallo reptilien, Zitat:
SD |
04.10.2004, 09:00 | #6 | |
| Hilfe Tojaner-Problem @ reptilien ich hab mir Dein Logfile angeschaut. Meines Erachtens ist es nicht zu verantworten, Dir etwas anderes zu empfehlen als: formatieren + neuaufsetzen - Tips von MountainKing und Cidre Zitat:
|
07.10.2004, 01:36 | #7 |
| Hilfe Tojaner-Problem Hallo reptilien, ich leiste der per PN ausgesprochenen Bitte Folge und gebe hiermit einen alternativen Weg zur Bereinigung Deines Systems an. Boote in den abgesicherten Modus, deaktiviere die Systemwiederherstellung, und fixe dann mit Hijack This folgende Einträge - und die mit (*) gekennzeichneten Einträge, wenn Du sie nicht kennst/brauchst: R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchmiracle.com/sp.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchmiracle.com/sp.php R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.coolsearch.biz/ R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchmiracle.com/sp.php (*) R3 - URLSearchHook: StartBHO Class - {30192F8D-0958-44E6-B54D-331FD39AC959} - C:\WINDOWS\Downloaded Program Files\CONFLICT.1\rundlg32.dll (*) O2 - BHO: &EliteBar - {28CAEFF3-0F18-4036-B504-51D73BD81ABC} - C:\WINDOWS\EliteToolBar\EliteToolBar version 52.dll (*) O3 - Toolbar: &EliteBar - {825CF5BD-8862-4430-B771-0C15C5CA8DEF} - C:\WINDOWS\EliteToolBar\EliteToolBar version 52.dll O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [Windows] C:\WINDOWS\System32\windows\services.exe O4 - HKLM\..\Run: [msbb] c:\temp\msbb.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" (*) O4 - HKLM\..\Run: [alivqp] C:\WINDOWS\alivqp.exe (*) O4 - HKCU\..\Run: [Naos] C:\Dokumente und Einstellungen\Heinz Hubmann\Anwendungsdaten\eeas.exe O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.blazefind.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchmiracle.com Beende im Taskmanager diese laufenden Prozesse, und die mit (*) gekennzeichneten, wenn Du sie nicht kennst/brauchst: WinSync.exe SyncroAd.exe services.exe msbb.exe WebRebates0.exe WebRebates1.exe (*) alivqp.exe (*) eeas.exe Lösche: C:\Program Files\Windows SyncroAd\WinSync.exe C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\WINDOWS\System32\windows\services.exe c:\temp\msbb.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\Programme\Web_Rebates\WebRebates1.exe (*) C:\WINDOWS\alivqp.exe (*) C:\Dokumente und Einstellungen\Heinz Hubmann\Anwendungsdaten\eeas.exe Aktiviere die Systemwiederherstellung, boote in den normalen Modus. Beachte bitte, dass das Betriebssystem, der Browser, alle SchutzProgramme, sowie alle weitere Software stets auf dem aktuellen Stand gehalten werden muss, um einen Schutz darstellen zu können. Platform: Windows XP SP1 (WinNT 5.01.2600) - lade Dir bitte das aktuelle Service Pack runter: www.windowsupdate.com Ich weise nochmals darauf hin, dass formatieren+neuaufsetzen die bessere Lösung ist. SD |
Themen zu Hilfe Tojaner-Problem |
bho, dateien, desktop, dll, einstellungen, excel, explorer, f-secure, hijack, hijackthis, hilfe, internet, internet explorer, maus, mehrere, messenger, microsoft, ordner, programme, rundll, schutz, software, system, temp, trojaner, urlsearchhook, windows, windows xp |