|
Plagegeister aller Art und deren Bekämpfung: Trojaner gefudenWindows 7 Wenn Du nicht sicher bist, ob Du dir Malware oder Trojaner eingefangen hast, erstelle hier ein Thema. Ein Experte wird sich mit weiteren Anweisungen melden und Dir helfen die Malware zu entfernen oder Unerwünschte Software zu deinstallieren bzw. zu löschen. Bitte schildere dein Problem so genau wie möglich. Sollte es ein Trojaner oder Viren Problem sein wird ein Experte Dir bei der Beseitigug der Infektion helfen. |
21.10.2004, 12:06 | #1 |
| Trojaner gefuden Hallo, Ich habe heute meinen Pc mit Antivir überprüft und einige Trojaner und Dialer gefunden. Das Programm konnte 2 dieser Trojaner nicht löschen. Deshalb habe ich mal mit Hijack eine Logfile gemacht. Vielleicht kann mir einer sagen wie ich weiter verfahren soll. Logfile of HijackThis v1.98.2 Scan saved at 12:52:57, on 21.10.04 Platform: Windows 98 SE (Win9x 4.10.2222A) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\SYSTEM\KERNEL32.DLL C:\WINDOWS\SYSTEM\MSGSRV32.EXE C:\WINDOWS\SYSTEM\SPOOL32.EXE C:\WINDOWS\SYSTEM\MPREXE.EXE C:\WINDOWS\SYSTEM\SSDPSRV.EXE C:\WINDOWS\SYSTEM\MSTASK.EXE C:\WINDOWS\SYSTEM\ATI2EVAE.EXE C:\WINDOWS\SYSTEM\mmtask.tsk C:\WINDOWS\EXPLORER.EXE C:\WINDOWS\SYSTEM\STIMON.EXE C:\WINDOWS\TASKMON.EXE C:\WINDOWS\SYSTEM\SYSTRAY.EXE C:\WINDOWS\RUNDLL32.EXE E:\VOODOO\3DHQ TOOLS\V_CTRL.EXE C:\PROGRAMME\3D BROWSER MOUSE\BMOUSE.EXE C:\PROGRAMME\MICROSOFT OFFICE\OFFICE\OSA.EXE E:\PROGRAMME\PALM\HOTSYNC.EXE C:\PROGRAMME\WINZIP\WZQKPICK.EXE C:\WINDOWS\DVZCOMMON\DVZMSGR.EXE C:\WINDOWS\SYSTEM\WMIEXE.EXE C:\WINDOWS\SYSTEM\DDHELP.EXE C:\WINDOWS\NOTEPAD.EXE C:\PROGRAMME\INTERNET EXPLORER\IEXPLORE.EXE F:\DOWNLOAD\HIJACKTHIS.EXE R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = O1 - Hosts: 193.125.201.50 msn.com O1 - Hosts: 193.125.201.50 search.msn.com O1 - Hosts: 193.125.201.50 auto.search.msn.com O1 - Hosts: 193.125.201.50 ie.search.msn.com O1 - Hosts: 193.125.201.46 thehun.net O1 - Hosts: 193.125.201.46 www.thehun.net O1 - Hosts: 193.125.201.46 thehun.com O1 - Hosts: 193.125.201.46 www.thehun.com O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAMME\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\REAL\TOOLBAR\REALBAR.DLL (file missing) O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\REAL\TOOLBAR\REALBAR.DLL (file missing) O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar3.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX O4 - HKLM\..\Run: [StillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE O4 - HKLM\..\Run: [Ati2cwxx] Ati2cwxx.exe O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe O4 - HKLM\..\Run: [SystemTray] SysTray.Exe O4 - HKLM\..\Run: [ICSDCLT] C:\WINDOWS\rundll32.exe C:\WINDOWS\SYSTEM\icsdclt.dll,ICSClient O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\Run: [AtiPTA] Atiptaxx.exe O4 - HKLM\..\Run: [xv_crtl] E:\voodoo\3dhq Tools\v_ctrl.exe O4 - HKLM\..\RunServices: [SSDPSRV] C:\WINDOWS\SYSTEM\ssdpsrv.exe O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme O4 - HKLM\..\RunServices: [SchedulingAgent] C:\WINDOWS\SYSTEM\mstask.exe O4 - HKLM\..\RunServices: [ATIPOLAB] ati2evae.exe O4 - Startup: 3D Browser Mouse.lnk = C:\Programme\3D Browser Mouse\Bmouse.exe O4 - Startup: Office-Start.lnk = C:\Programme\Microsoft Office\Office\OSA.EXE O4 - Startup: HotSync Manager.lnk = E:\Programme\Palm\hotsync.exe O4 - Startup: WinZip Quick Pick.lnk = C:\Programme\WinZip\WZQKPICK.EXE O4 - Startup: PowerReg Scheduler.exe O4 - Startup: DataViz Messenger.lnk = C:\WINDOWS\DvzCommon\DvzMsgr.exe O8 - Extra context menu item: &Google Search - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmsearch.html O8 - Extra context menu item: Cached Snapshot of Page - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmcache.html O8 - Extra context menu item: Similar Pages - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmsimilar.html O8 - Extra context menu item: Backward Links - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmbacklinks.html O8 - Extra context menu item: Translate into English - res://C:\PROGRAMME\GOOGLE\GOOGLETOOLBAR3.DLL/cmtrans.html O12 - Plugin for .vem: C:\Programme\Internet Explorer\Plugins\npkit32.dll O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/ga.../de/games4.cab O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binarie...TH_1024_EN.cab O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 194.25.2.129 O18 - Filter: text/html - {2C92DD20-5767-11D8-A766-0030840C4D40} - C:\WINDOWS\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\V0.26.DAT Vielen Dank im voraus, Urb |
21.10.2004, 15:38 | #2 |
| Trojaner gefuden Ich hatte noch vergessen anzugeben, was Antivir gefunden hat:
__________________TR/Dialui und TR/IstBar.S Danke, Urb |
21.10.2004, 16:18 | #3 |
| Trojaner gefuden Hi,
__________________bitte prüfen, falls unbekannt fixen C:\WINDOWS\SYSTEM\ATI2EVAE.EXE E:\VOODOO\3DHQ TOOLS\V_CTRL.EXE C:\PROGRAMME\3D BROWSER MOUSE\BMOUSE.EXE C:\WINDOWS\DVZCOMMON\DVZMSGR.EXE unbedingt fixen: ---edit:------ C:\WINDOWS\RUNDLL32.EXE die ist bei Win98 richtig und an dieser stelle, aber vielleicht trotzdem mit http://www.kaspersky.com/de/remoteviruschk.html checken ----- O1 - Hosts: 193.125.201.50 msn.com O1 - Hosts: 193.125.201.50 search.msn.com O1 - Hosts: 193.125.201.50 auto.search.msn.com O1 - Hosts: 193.125.201.50 ie.search.msn.com O1 - Hosts: 193.125.201.46 thehun.net O1 - Hosts: 193.125.201.46 www.thehun.net O1 - Hosts: 193.125.201.46 thehun.com O1 - Hosts: 193.125.201.46 www.thehun.com O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C339} - http://content.netvenda.com/sites/g...l/de/games4.cab O16 - DPF: {2119776A-F1AD-4FCD-9548-F1E1C615350C} - http://www.stop-sign.com/pub/download/scandl_cnry.cab O16 - DPF: {0594AF7E-573B-40DF-8165-E47AB2EAEFE8} (EGEGAUTH Class) - http://akamai.downloadv3.com/binari...UTH_1024_EN.cab O18 - Filter: text/html - {2C92DD20-5767-11D8-A766-0030840C4D40} - C:\WINDOWS\ANWENDUNGSDATEN\MICROSOFT\INTERNET EXPLORER\V0.26.DAT nicht mehr notwendig, ebenfalls fixen O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\REAL\TOOLBAR\REALBAR.DLL (file missing) O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\GEMEIN~1\REAL\TOOLBAR\REALBAR.DLL (file missing) MFG Blackdog
__________________ |
21.10.2004, 17:34 | #4 |
| Trojaner gefuden Hi, also ich hab das Angegebene gefixt und die Temp Files gelöscht. Antivir zeigt jetzt keine Trojaner mehr an. Vielen Dank für die schnelle Hilfe, Urb |
21.10.2004, 20:13 | #5 |
| Trojaner gefuden Hallo, Ich habe jetzt nochmal eScan drüber laufen lassen und das hat noch mehr als 10 Dialer und Trojaner gefunden. Ich poste einfach mal die Log-File. Vielleicht hat ja einer von euch noch ne Idee wie ich die wegkriegen könnte. File C:\WINDOWS\sp.dll infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken. File C:\WINDOWS\olehelp.exe infected by "Trojan.Win32.StartPage.cm" Virus. Action Taken: No Action Taken. File C:\WINDOWS\SYSTEM\SuperHeiss2-uninstall.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\WINDOWS\SYSTEM\ia.dll tagged as not-a-virus:PornWare.Dialer.IA. No Action Taken. File C:\WINDOWS\SYSTEM\p2esocks_1024.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1024. No Action Taken. File C:\WINDOWS\SYSTEM\SuperHeiss2-uninstall.exe tagged as not-a-virus:RiskWare.Dialer.gen. No Action Taken. File C:\WINDOWS\SYSTEM\ia.dll tagged as not-a-virus:PornWare.Dialer.IA. No Action Taken. File C:\WINDOWS\SYSTEM\p2esocks_1024.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1024. No Action Taken. File C:\WINDOWS\TEMP\~vis0001\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\WINDOWS\Anwendungsdaten\Microsoft\Internet Explorer\V0.15.dat infected by "Trojan.Win32.Dialui" Virus. Action Taken: No Action Taken. File C:\WINDOWS\sp.dll infected by "Trojan.WinREG.StartPage" Virus. Action Taken: No Action Taken. File C:\WINDOWS\olehelp.exe infected by "Trojan.Win32.StartPage.cm" Virus. Action Taken: No Action Taken. File C:\ht.hta infected by "TrojanClicker.JS.Gen" Virus. Action Taken: No Action Taken. File C:\winlog.html infected by "Trojan.JS.Fav" Virus. Action Taken: No Action Taken. File F:\download\backups\backup-20041021-173606-769.dll tagged as not-a-virus:RiskWare.Dialer.E-Group.1024. No Action Taken. Vielen Dank nochmal im voraus, Urb |
22.10.2004, 01:26 | #6 |
| Trojaner gefuden Hallo Urb2000, die Dialer solltest Du auf Diskette sichern, bevor Du sie löscht, falls sich Deine Telefonrechnung erhöht: (Dialer-Hinweis) [edit] Ich finde (noch) keine Information zu: 'Trojan.JS.Fav', sende bitte die Datei "C:\winlog.html" passwortgeschützt an partytime-germany.ice@web.de mit Hinweis im Betreff 'Trojan.JS.Fav' und auf diesen Thread. [/edit] Die Malware muß im - abgesicherten Modus bei deaktivierter Systemwiederherstellung - von Hand gelöscht werden, siehe eScan: "öffne die mwav.log -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und in die Windows Suche übertragen -> löschen!" Solltest Du Dateien nicht finden: "Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> "Alle Dateien und Ordner anzeigen" aktivieren" (Cidre zitiert) Lade das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf. Downloade Spybot-Search & Destroy 1.3, lade dann die spybotsd131tx.exe runter und kopiere sie in das bestehende Spybot-Verzeichnis, siehe Anleitung: Spybot-Forschung. Scanne damit Deinen Rechner und lass bestehende Probleme beheben. Erstelle ein neues Hijack This Logfile und poste es. SD Geändert von Shadowdance (22.10.2004 um 01:45 Uhr) |
Themen zu Trojaner gefuden |
acrobat, adobe, antivir, bho, browser, download, explorer, file missing, hijack, hijackthis, internet, internet explorer, links, logfile, microsoft, office, programm, programme, registry, rundll, services, software, start, system, trojaner, windows |