Trojaner-Board - Oh scheiße- ich hab keine Ahnung-wie ich die Trojaner los werde

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Oh scheiße- ich hab keine Ahnung-wie ich die Trojaner los werde (https://www.trojaner-board.de/12279-oh-scheisse-hab-keine-ahnung-trojaner-los.html)

Oh scheiße- ich hab keine Ahnung-wie ich die Trojaner los werde

hallo!
kann sich bitte mal einer diese Liste anschauen und mir helfen!
hab 2X TR/ DIdr .DYFuca.DB
DR/ 180 Solutions
und einen komischen Dropper

DANKE

Logfile of HijackThis v1.98.2
Scan saved at 19:30:10, on 16.01.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\cisvc.exe
C:\Programme\VeriSign\NAVI\naviagent.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\tcpsvcs.exe
C:\WINDOWS\System32\snmp.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\RunDll32.exe
C:\PROGRA~1\0190WA~1\WARN0190.EXE
C:\Programme\Trust\302KS\Mouse\mouse32a.exe
C:\Programme\AVPersonal\AVSCHED32.EXE
C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe
C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe
C:\WINDOWS\System32\wuampd.exe
C:\recycler\mActiveX.exe
C:\Program Files\Admanager Controller\AdManCtl.exe
C:\temp\salm.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Trust\302KS\Keyboard\KbdAp32A.exe
C:\Program Files\Admanager Controller\AdManKeep.exe
C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
C:\Programme\Samsung\Digimax Viewer 1.0\DigimaxViewer.exe
C:\PROGRA~1\INCRED~1\bin\IMApp.exe
C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe
C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE
C:\Programme\T-Online\T-Online_Software_5\Browser\Browser.exe
C:\WINDOWS\System32\cidaemon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Laura\Desktop\hijackthis1982\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.t-online.de/
R3 - URLSearchHook: i-Nav IDN SearchHook - {CE000994-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: i-Nav IDN Resolver - {CE000992-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [SiSUSBRG] C:\WINDOWS\SiSUSBrg.exe
O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\NeroCheck.exe
O4 - HKLM\..\Run: [0190 Warner] C:\PROGRA~1\0190WA~1\WARN0190.EXE
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [FLMBROWSEMOUSE] C:\Programme\Trust\302KS\Mouse\mouse32a.exe
O4 - HKLM\..\Run: [FLMK08KB] C:\Programme\Trust\302KS\Keyboard\MMKEYBD.EXE
O4 - HKLM\..\Run: [AVSCHED32] C:\Programme\AVPersonal\AVSCHED32.EXE /min
O4 - HKLM\..\Run: [CloneCDElbyCDFL] "C:\Programme\Elaborate Bytes\CloneCD\ElbyCheck.exe" /L ElbyCDFL
O4 - HKLM\..\Run: [CloneCDTray] "C:\Programme\Elaborate Bytes\CloneCD\CloneCDTray.exe"
O4 - HKLM\..\Run: [mwavscan] "C:\bases\mwavscan.com" /s
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe
O4 - HKLM\..\Run: [ToADiMon.exe] C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis1\ToADiMon.exe -TOnlineAutodialStart
O4 - HKLM\..\Run: [Microsoft Update] wuampd.exe
O4 - HKLM\..\Run: [REGRUN] C:\recycler\mActiveX.exe
O4 - HKLM\..\Run: [Admanager Controller] C:\Program Files\Admanager Controller\AdManCtl.exe
O4 - HKLM\..\Run: [salm] c:\temp\salm.exe
O4 - HKLM\..\Run: [tkdinkv] C:\WINDOWS\tkdinkv.exe
O4 - HKLM\..\RunServices: [Microsoft Update] wuampd.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [HBRemind] C:\Programme\T-Online\T-Online_Software_5\Banking\HBRemind.exe
O4 - HKCU\..\Run: [Microsoft Update] wuampd.exe
O4 - Global Startup: Digimax Viewer 1.0.lnk = ?
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra 'Tools' menuitem: Hilfe zu i-Nav - {CE000992-A58C-4441-8938-744CD72AB27F} - http://idn.verisign-grs.com/plug-in/support/index.jsp (file missing)
O9 - Extra button: (no name) - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O9 - Extra 'Tools' menuitem: Optionen für i-Nav - {CE000996-A58C-4441-8938-744CD72AB27F} - C:\Programme\VeriSign\i-Nav\i-nav_4_2_0.dll
O16 - DPF: RaptisoftGameLoader - http://www.miniclip.com/hamsterball/...gameloader.cab
O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/CD...bridge-c15.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://www.ea.com/downloads/rtpatch/EARTPX.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.co...?1098110323725
O17 - HKLM\System\CCS\Services\Tcpip\..\{D590DC2C-DE4E-446A-A37F-6796A6553F6C}: NameServer = 217.237.149.225 217.237.151.97

Scanne dein System bitte mit eScan im abgesicherten Modus (Anleitung genau befolgen!) und poste was gefunden wird. Am einfachsten machst du das so:
Direkt nach dem Scan, den Inhalt des Fensters "Virus Log Information" kopieren (Strg+A alles markieren; Strg+C kopieren) und dann in einer Textdatei abspeichern (z.B. mit Wordpad o.ä.). Dazu den Inhalt mit Strg+V in das Textverarbeitungsprogramm einfügen und das Dokument dann abspeichern. Nach dem Neustart kannst du die Infos aus der Datei dann einfach ins Forum kopieren.
Wahrscheinlich wirst du dein Systen aberneu aufsetzen müssen.

Zitat:

Zitat von Haui45

Danke erstmal für die Info
-aber mein eScanToolkit startet sofort , wenn ich in meine Datei/ Ordner gehe
-im gesicherten Modus startet es aber nicht, ich finde diese Programm auch nicht
-soll ich da es noch mal neu runterladen, so das es auf dem destop ist?

Ach so- ich bin ein großer Computer-Deep. :heulen:

Hi, du hast beim escan angekreuzt, er soll mit Windows hochstarten.
Entferne das Häkchen, dann läufts.
cacatoa

Sorry- diese doofe Frage! Wo kann ich es entfernen????
Hab gerad nachgeschaut-------finde kein Häckchen zum entfernen.
das hat alles für jemand gemacht.
:mad:
Nützt Spybot-Search& Destory????

War keine doofe Frage, sondern von mir falsch. Es ist ja auch kein Häkchen sondern ein Button: Ganz unten im Anfangsbildschirm ist ein Button "Add to startup"
(Das ist der breiteste Button)
Hier wird eScan zum Autostart hinzu gefügt oder entfernt. Du entfernst.
cacatoa

kein Häkchen
gestartetes eScan große Schaltfläche unten "Remove from Startup" betätigen.

Windows Updaten
aktuelles HiJackThis benutzen
(ich war mal wieder zu langsam http://www.trojaner-board.com/images...es/redface.gif)

@ shadow
Nicht weinen ;)
cacatoa

keiner flennt bitte - ich darf das !!!!!
der scan startet sofort- aber kein Button mit Remove from...oder Add to Start... auch kein ganz großer Button.Den scan finde ich nicht mal in der Systemsteuerung- software

@ lili-lili

Probiers mal so: http://www.trojaner-board.de/showpos...2&postcount=10

Allerdings ist auf deinem System ein aktiver WORM_RBOT.UM -> http://www.trojaner-board.de/showpos...33&postcount=2

so, hab den eScan durchlaufen lassen

Das hab ich an Viren und anders Zeug drauf.

File C:\WINDOWS\System32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\System32\lsp.dll infected by "not-a-virus:AdWare.Sahat.f" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Laura\LOKALE~1\Temp\GL_17.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\Laura\LOKALE~1\Temp\GL_27.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\Laura\LOKALE~1\Temp\GL_4.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\Laura\LOKALE~1\Temp\GL_5.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\Laura\LOKALE~1\Temp\GL_A.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\DOKUME~1\Laura\LOKALE~1\Temp\installer.exe infected by "not-a-virus:AdWare.PurityScan.u" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Laura\LOKALE~1\TEMPOR~1\Content.IE5\45CD8LGN\mActiveX[1].exe infected by "TrojanDropper.Win32.PurityScan.h" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Anne\Lokale Einstellungen\Temp\scw2.tmp tagged as not-a-virus:Porn-Dialer.Win32.ALifeDialer. No Action Taken.

File C:\Dokumente und Einstellungen\Laura\Lokale Einstellungen\Temp\GL_27.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Laura\Lokale Einstellungen\Temp\GL_4.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Laura\Lokale Einstellungen\Temp\GL_5.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Laura\Lokale Einstellungen\Temp\GL_A.EXE tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken.
File C:\Dokumente und Einstellungen\Laura\Lokale Einstellungen\Temp\installer.exe infected by "not-a-virus:AdWare.PurityScan.u" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Laura\Lokale Einstellungen\Temporary Internet Files\Content.IE5\45CD8LGN\mActiveX[1].exe infected by "TrojanDropper.Win32.PurityScan.h" Virus. Action Taken: No Action Taken.

Total Errors 110

Was kann ich tun.............Es werden immer mehr

[

@lili-lili
lese doch noch mal den beitrag von Cidre.
der hier ist im system
daraufhin kann man dich nur neu aufstetzen empfehlen
hier ein paar tips
http://www.trojaner-board.de/showpo...033&postcount=2
Dank an Cidre

chaosman