Bitte nochmal prüfen...Danke!
 

*ich verschieb mal aus meinem Trojaner-thread hierher :o *


Nachdem ich alles wieder und wieder gescanned habe und sogar zusätzlich noch diverse Spyware gefunden und gelöscht wurde, ich 1 kompletten Ordner "IM" gefunden habe, der auch noch incredimail enthielt (den hab ich erst im abgesicherten Modus durch einzelnes durchforsten gefunden, nicht über die Suchfunktion), hab ich immer noch folgende Probleme:

eScan findet 5 Dateien, die aber nur als "not-a-virus" markiert werden (1 davon habe ich gefunden und gelöscht), und Hijack listet sie NICHT.

C:\DOKUME~1\Privat1\LOKALE~1\Temp\ImInstaller\Incr ediMail\imloader.exe
(Vermerk: not a virus. Risk Ware.Downloader.Imloader.b.no action taken)
C:\DOKUME~1\Privat1\LOKALE~1\Temp\ImImstaller\Inst aller_IncrediMail.log
C:\WINNT\system32\Tools\Restart.exe
(Vermerk: not a virus, Risk Ware.Tool.Destart.No action taken)
C:\WINNT\Downloaded Program Files\imloader.exe
(Vermerk: not a virus.RiskWare.Downloader.Imloader.b. no action taken)


Kann mir jemand helfen bitte?

@Bibi
diese einträge kannst du in den abgesicherten modus mit HJT fixen
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINNT\web\related.htm

anschließend manuell löschen
C:\WINNT\web\related.htm

eScan findet 5 Dateien, die aber nur als "not-a-virus" markiert werden (1 davon habe ich gefunden und gelöscht), und Hijack listet sie NICHT.

escan findet vieles, nicht nur viren.
hast du ansonsten noch problemen?
chaosman

Hallo chaosman,
vielen lieben Dank für Deine *superschnelle* Antwort :daumenhoc
Seltsam, daß man anderslautende Dateien fixen/löschen muß, um die eigentlichen loszuwerden *oder versteh ich da was falsch?*

Ich hoffe nur, daß mit dem Fixen dieser Dateien mein Trojanerproblem endgültig geklärt ist (TRDrop.Delf.FD1 und TR/Click.NoName.A) :(

Ein Problem bliebe noch, meine Funktastatur samt Optical mouse spinnen, der Mauszeiger springt manchmal unvermittelt über den Bildschirm, manchmal ist er total lahm und ruckelig und unkoordiniert, kann es sein, daß die Trojaner irgendwas kaputt gemacht haben, wodurch sowas dann passiert? (an Batterie und Sender kann es nicht liegen - es sei denn der ist kaputt)

noch ne Frage: Du hast mir jetzt 2 Dateien genannt, das \web\related gehört ja dazu. Was ist mir den anderen 2 Dateien? Sind die damit verbunden und automatisch mitgefixed?

und jetzt mal was anderes:

ich habe gerade den Beitrag *Nicht nur Lender-search...* von ponzelar angeklickt und bekomme die Meldung (Worte gekürzt):

C:\Dok + Einst.\Priv1\Lok.1\TempInternFiles/Content.IE5/016VO1IN\Showthread(4).PHP

enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

!! was ist denn das?

push.......

beim Anklicken des Beitrags: "Was hab ich mir da eingefangen" von V8power.org die gleiche Meldung:

enthält Signatur des HTML-Scriptvirus HTML/Exploit.Mhtml

Was ist denn das??

Ich vermute ganz stark, dass es sich um einen Fehlalarm von AntiVir handelt!
Offensichtlich ähnelt der Code der Threads ungünstigerweise einem von AntiVir erkannten Scriptvirus...

OK, gerade Bestätigung geholt, daß die anderen 2 Dateien nicht mitgelöscht wurden. Also:

eScan hat 3 *not-a-virus* Riskware-Dateien gefunden, 2 noch seit 03.03.05 und 1 neue:

C:\WINNT\system32\Tools\Restart.exe
C:\WINNT\Downloaded Program Files\imloader.exe
C:\RECYCLER\S-1-5-21-1390067357-1592454029-725345543-1000\Dc12.exe

will ich löschen, sagt mein Compi: Systemdateien, Löschen kann ev. Programme verändern etc.

Hilfe! :(

könnte das jemand bitte nochmal checken? vielen Dank :)

@Bibi
im logfile ist nichts besonderes, jedoch lasse diese dateien hier überprüfen
www.malwareupload.com poste anschließend das ergebnis
C:\WINNT\system32\Tools\Restart.exe
C:\WINNT\Downloaded Program Files\imloader.exe
C:\RECYCLER\S-1-5-21-1390067357-1592454029-725345543-1000\Dc12.exe

besonders der erste könnte ein backdoortrojaner sein

chaosman

danke, chaosman, hab ich gemacht und folgende Antworten erhalten:

"Hallo,
Wir haben Ihre Datei imloader.exe überprüft und kamen zu folgendem Ergebnis: Incredimail Downloader, soll Spyware enthalten das Programm"

"Hallo,
Wir haben Ihre Datei Restart.exe überprüft und kamen zu folgendem Ergebnis:
Programm mit Neustartfunktion integriert. Harmlos!"


Wie krieg ich denn jetzt die imloader.exe gelöscht, wenn mir der Compi sagt: Systemdatei, Löschen kann Programme verändern etc.?
(Die Restart.exe DARF ich wohl garnicht löschen, oder?)
Und wie krieg ich die Datei in Recycler gelöscht? Diese konnte ich übrigens nicht zu malwareupload schicken, weil sie entweder zu groß war oder ein Dateityp, den sie nicht prüfen.
:(

Die Dateien im Papierkorb und Downloaded Program Files bekommst Du mit diesem Programm:

Total Commander
weg. Ggf. im abgesicherten Modus.

Einstellungen im Total Commander:
Total Commander öffnen -> Konfigurieren -> Einstellungen -> Ansicht -> Haken setzen bei "Versteckte und Systemdateien anzeigen (nur für Experten)" -> Ok

Klasse, hab ich runtergeladen und die imloader.exe konnte ich auch löschen.
ABER:
wenn ich die Recycler-Datei löschen will, fragt er ob wirklich gelöscht werden soll, weil: "Datei hat Attribut Versteckt oder System"
Wenn ich die Unterdateien öffne und anzeigen anklicke, steht in allen zwischen Hyroglyphen immer was von IMLOADER *?*
Und wenn ich die Unterdateien lösche, kommen jedesmal NEUE Unterdateien dazu, wie bei Medusa, der 2 neue Köpfe wachsen wenn man ihr einen abschlägt.
?????

und nun hat sich noch ne neue Datei gebildet mit dem orangefarbenen Briefsymbol von Incredimail davor *???*

Mal ein Auszug was unter *anzeigen* bei dieser Datei steht zwischen ellenlangen Zeilen von komischen Zeichen....

, Installatore %s è già in esecuzione.
 Nome file:
Completa installazione %s
  p P X „


  ø
  à   Ð

 x   ä   œ  %s Installer
 Weiter >
 < Zurück
 Abbrechen
 Fortsetzen
 Jetzt fortsetzen
 Später fortsetzen
 Nein
 Ja
 OK
H Bitte warten, solange die Systemkonfiguration überprüft wird...
@ Bitte warten, solange die Dateien extrahiert werden...
T Bitte warten, solange die zu herunterladenden
Dateien überprüft werden...
è Die Installation ist unvollständig.

Wenn Sie die Installation jetzt abbrechen, wird Ihnen vorgeschlagen,
nächstes Mal fortzusetzen, wenn Ihr Computer erneut startet.

Soll die Installation wirklich abgebrochen werden?
l Das Setup ist nicht abgeschlossen.

Wenn Sie jetzt beenden, wird das Programm nicht installiert.
„ Ein Symbol namens "%s"
wurde auf Ihrem Desktop platziert, um Ihnen zu ermöglichen,
die Installation später abzuschließen.
, Ein schwerer Fehler ist aufgetreten.
l Auf Datei %s konnte nicht zugegriffen werden.

Überprüfen Sie Speicherplatz, Berechtigungen usw.
@ Installationsskript-Fehler.

versuchen Sie es wieder.
* Kann das Installationsskript nicht herunterladen.

Stellen Sie sicher, dass Sie mit dem Internet
verbunden sind und versuchen Sie später noch einmal.
œ Datei %s konnte nicht heruntergeladen werden.

Stellen Sie sicher, dass Sie mit dem Internet
verbunden sind und versuchen Sie später noch einmal.
” Internet-Verbindung fehlgeschlagen.

Stellen Sie sicher, dass Sie mit dem Internet
verbunden sind und versuchen Sie später noch einmal.
l Die Installation von %s wird jetzt abgeschlossen.
Klicken Sie auf 'Fortsetzen', um weiterzugehen.
( Fragen Sie mich nicht noch einmal
� Die Installation von %s wurde nicht vollständig abgeschlossen.
Um die Installation abzuschließen, klicken Sie auf 'Jetzt fortsetzen'.
$ %s Installer ist schon aktiv.
 Da

Nichts im Unterordner anklicken! Zur Not den ganzen Ordner:
löschen. Windows legt ihn dann schon wieder an. Wenn die Frage kommt, ob wirklich gelöscht werden soll --> JA.

Hallo Bibi,

lösch die Datei einfach!
Vergiss Du Warnungen!

.. und Papierkorb (=Recycler) leeren.

dartus

diese Recycler-Datei hatte die Endung Dc12.exe
mittlerweile bin ich durch das Löschen und sich neubilden bei Dc20 ini und Dc27.exe

geht ja nicht zu löschen, dartus! Meldung kommt: Datei konnte nicht vollständig gelöscht werden. Und wenn ich dann anklicke sind immer noch 5-6 Unterdateien vorhanden und eine neue incredimail-exe hat sich von selbst neu gebildet!
papierkorb leeren klappt auch nicht!

Auch wenn Du den gesamten Ordner löscht?

ja, auch der Ordner Recycler "konnte nicht komplett gelöscht werden"

wenn ich im Commander Unterdateien lösche, sagt mir mein Papierkorb: keine Dateien vorhanden. Aber wenn ich in der Menualeiste auf *Papierkorb leeren* gehe, sagt er zB. 2Dateien wirklich löschen?
??

Lade Dir clearprog 1.4.1 final.

Starte das Tool--> Alles Löschen und auf Löschen Klicken

dartus

ZIP oder SETUP?

Lad Dir mal AmoK DelayDel
herunter und "schiebe" den gesamten Ordner auf die Desktop-Verknüpfung.
Danach Neustart....

Doch egal...nimm Setup.

@bibi,

da hast du freie Auswahl!

dartus

läßt sich nicht verschieben :( weder der ganze Ordner noch die Unterdateien

Wie wolltest Du ihn denn verschieben?....mit der linken Mouse-Taste anklicken...gedrückt halten und auf dem Symbol von Amok.. loslassen. Es erfolgt keine Bestätigung von Amok..

Und ClearProg? Alles löschen was Windows und Internet Explorer heisst.

schon klar, aber normalerweise ist der Ordner ja nach dem Verschieben an der Ursprungsstelle weg, nicht mehr dort zu sehen, und das tut er eben nicht, also ist er ja dann auch nicht in dem clearprog gelandet, von wo aus er dann gelöscht würde beim Neustart *oder? :( * (wenn ich andersrum das clearprog in den Papierkorb verschiebe ist es ja vom Desktop auch verschwunden)


clearprog:Hab erstmal nur unter windows den papierkorb gelöscht. Danach war die Datei aber immer noch da. Ich versuch den Rest nochmal

clearprog alle windows und explorerdaten gelöscht, Recyclerdatei ist immer noch da

OK, ich meinte mit "schiebe", dass Du dem Programm (AmokDelayDel) "sagst", lösche diesen Ordner (nicht Recycler sondern den mit den Zahlen) beim nächsten Neustart. Also ändert sich erst einmal nichts.

Und zum Programm ClearProg....dieses starten, alle Häkchen bei Windows und bei IE setzen und auf LÖSCHEN klicken.

Also dieses da oben mal machen und danach Neustart.

P.S. Nicht ClearProg in den Papierkorb....

aha *schäm*.... sorry, hab doch Null Ahnung :( Danke.
Ich weiß nur nicht, wie ich den ordner korrekt benennen soll, denn die Endung.ini und diverse .exe stehen ja zur Verfügung und daß er eine .ini ist, hab ich auch erst durch den Commander rausgefunden, steht nämlich sonst nirgends

Nix benennen, den Ordner (...Zahlen) greifen (Mouse...wie vorhin beschrieben), auf die Verknüpfung vom AmokDel... ziehen....loslassen. NEUSTART!
Zur Not den Total Commander so "hinschieben", dass Du im Total Commander den Ordner siehst und auf dem Desktop das Icon von Amok..., dann einfach anklicken, gedrückt halten und auf Amok ziehen....neu starten und schauen, ob alles weg ist...

So sollte es aussehen....

ja, genau so hab ichs vorhin gemacht(hatte ich es doch richtig gedacht), dann Neustart und die Datei ist immer noch da

Welche? Die DC27.exe oder die Desktop.ini oder beide? Desktop.ini gehört dort hin.

Du kannst es auch im abgesicherten Modus mal probieren (beim Hochfahren mehmals F8 drücken und ...abges. Modus auswählen.

ich hab jetzt nochmal über den Commander mittels*bewegen* die Dateien nach Amok verschoben, aber er verschiebt nur in den Ordner Amok, nicht in die eigentliche DelayDel, ergo sind nach meinen Neustart gerade die Dateien (eine Datei INFO2 separat, die Datei mit den vielen Zahlen und Dc1 - ini, desktop - ini und INFO2 - keine Ahnung welche Endung -> alles Unterdateien der Datei mit den Zahlen) nicht mehr im Recycler, aber dafür im Ordner Amok

jetzt hab ich das Spielchen nochmal vom Commander per Mausklick auf Desktopverknüpfung von Amok gemacht, Neustart....Dateien immer noch da

Bibi...Du hast doch sicher die amok...zip entpackt und die entsprechende Setup.exe ausgeführt. Dann erst entsteht ein Icon, welches auch Deine Dateien löscht.
Nun darfst Du dies noch machen und dann aus dem Amok-Ordner die Dateien auf dieses Icon ziehen....aber vorher die AmoK-1.DelayDel.v1.2.German.Retail-AmoK.zip entpacken und (es befinden sich dann in dem Ordner eine AmokDel...Setup.exe) installieren!

das setup hab ich ganz normal installiert, habe auch diesen Icon *Lösche Datei bei Neustart* auf meinem Monitor (danke übrigens für Deine Geduld :) )

Noch besser, nach der Installation öffnest Du im Total Commander auf der einen Seite den Amok-Ordner wo die DC-Dateien sind und auf der anderen den wo die DelayDel.exe ist. Dann nur noch die entsprechenden Dateien auf die DelayDel.exe nacheinander ziehen (sie sind dann noch nicht weg aus dem Ordner) und neu starten.

Ups...überschnitten mit den Antworten.

Dann musst Du wie eben beschrieben die Dateien aus dem Amok-Ordner auf das Icon ziehen.

macht er doch nicht, schon versucht...stellt sie nur in den Ordner amok aber nicht in die wichtige delaydel.exe
(und jetzt wollte ich grad diese Zahlendatei zurück in den Recycler verschieben, da kopiert er das Ding nur und kein *rückgängig machen*-Button, jetzt hab ich sie 2x *kotz*)

hatte ich bereits versucht...

Direkt auf die DelayDel.exe ziehen. Jede einzelne Datei. Die exe muss dann hervorgehoben sein (meist grau). Hab es gerade bei mir probiert, hier funktioniert es wunderbar. Am Mousezeiger "hängt" das kleine Plus-Zeichen und wenn man direkt damit über der delaydel.exe ist, wird diese andersfarbig und man lässt die linke Mousetaste wieder los. Wie gesagt, die Dateien sind dann noch am gleichen Ort. Sie sind nur markiert für das Löschen beim Neustart.
Vielleicht sind sie ja schon erfasst, mach doch mal einen Neustart....

wenn ich die Datei (oder auch die einzelnen Unterdateien, egal) im Commander anklicke kommt so ein Sperrzeichen (Kreis mit Strich durch), wenn ich mit dem Mauszeiger über Amok bin zeigt sich kein Plus sondern 4 gefächerte Blätter am Mauszeiger, wenn ich über delaydel *abwerfe*, steht die Datei im Gesamtordner Amok, aber nicht in der delaydel.exe - alles schon probiert...mit Mausziehen und mit *F6-bewegen*, in der Commandermaske und je 1x vom Recycler und vom Commander aus in die Desktopverknüpfung von Amok... und bestimmt schon 6 Neustarts jeweils danach gemacht....die Datei samt Unterdateien ist immer noch da *verzweifel*

ich hab grad mal im Recycler diese Zahlendatei einfach umbenannt, hat auch nach Rückfrage des Compi geklappt, dann hab ich die Datei gelöscht......und plötzlich hatte ich die umbenannte Datei im Papierkorb(den ich auch problemlos leeren konnte) PLUS die ja vorher umbenannte Datei mit altem Namen wieder im Recycler !

Komisch, bei mir landet nichts im Amok-Ordner. Anscheinend hast Du es auch noch nicht im abges. Modus probiert (bist ja immer online im Board :) )
Meine letzte Idee wäre noch die KillBox
Dort müsstest Du aber nach dem Starten des Programms die jeweiligen Dateien einzeln auswählen, Delete on Reboot anklicken, auf Löschen klicken und bei der Frage nach dem Löschen beim Neustart solange mit Nein "antworten" (anklicken), bis Du die letzte Datei ausgewählt hast, da bestätigst Du die Anfrage mit JA. Und wieder ein Neustart.

nee, im abgesicherten hab ichs noch nicht versucht, denkst du dann krieg ich kein Sperrzeichen und keine gefächerten Blätter, aber dafür ein Pluszeichen wie bei Dir? Werd ich gleich mal probieren, und wenn das nicht klappt diese killbox. Hast Du ne Idee wie das mit der umbenannten, dann gelöschten und dann trotzdem wieder mit ALTEM Namen neu erscheinenden Datei zutun hat?
Danke Dir erstmal herzlich für Deine ausdauernde und geduldige Hilfe :)

So bin ich halt. :dummguck:

Und der Grund, warum das Zeichen (Sperrzeichen) kam, könnte sein, dass die Dateien mit Norton-Protection geschützt sind, also "im Gebrauch" sind (s.u.).

Also, der Ordner mit den Zahlen, die desktop.ini und die Info2 sind normale Dateien, die müssen auch nicht weg. Nur die, die angemeckert wurde.

Ähmmm, hast Du Norton-Protect auf dem Rechner? Sieht fast so aus.
Dann mal den Papierkorb mit der rechten Mousetaste anklicken, auf Eigenschaften gehen -> Norton Protection auswählen -> Häkchen raus bei "Schutz aktivieren" und unten anklicken "Geschützte Dateien entfernen" -> Übernehmen -> OK

Nur die verschobenen Dateien im Amok-Ordner musst Du wieder in den Papierkorb bekommen. Müsste eigentlich mit normalem Löschen gehen, da die Dateien dort ja nicht benutzt werden von einem Programm. Dieses hier zuerst machen, dann den Papierkorb leeren und danach das o.g. (geschützte Dateien löschen)

geschafft!
im abgesicherten mußte ich noch ein paarmal rumprobieren, dann klappte das *F6-bewegen* im Commander vom Recycler in die delaydel.exe,nachdem ich die delay manuell in die Menuezeile eingegeben habe und die Endung auf .exe geändert habe, und mit Neustart war dann alles gelöscht -Zahlendatei samt Unterdateien-, eScan meldet nur noch diese Restart.exe, die ja laut malwareupload harmlos sein soll *hoffentlich :( *

Ich hoffe, damit sind die Nachwehen der Trojaner *so es denn daher kam* endgültig erledigt.

Vielen Dank nochmal an alle und Feierfox im besonderen :)



Norton habe ich übrigens nicht drauf, aber evtl. sind noch Teile der schlecht gelöschten abgelaufenen Testversion irgendwo hängengeblieben *müßte ich mich mal drum kümmern, jetzt weiß ich ja wies geht ;) *

Gern geschehen :)

Huch...noch wach? Gute Nacht *winke* :)

Hilfeeeee...diese blöde Incredimail-Datei ist wieder da (oder war vll. doch nie wirklich weg).

Datei ist jetzt in beiden Recyclern auf C: und D: und lautet

S-1-5-21-1390067357-1592454029-725345543-1000

Zuerst konnte ich sie (als letzte Möglichkeit von x ausprobierten) mit dem Amok löschen, aber offensichtlich nur im C: Recycler, auf D: war sie wohl immer noch und mittlerweile ist sie auch wieder im C: Recycler. Und jetzt krieg ich beide garnicht mehr weg, auch nicht mittels Amok.

Weiß jemand Rat?

Logfile, falls es weiterhilft:

hab jetzt grad nochmal das KILLBOX runtergeladen und versucht die Dateien zu löschen - immer noch da PLUS im Recycler haben sich jeweils 2 neue Unterordner gebildet, die konnte ich aber einfach per entfernen löschen.
Diese lange Datei hatte ich übrigens auch schonmal umbenannt, und nach dem erfolglosen Löschversuch mittels TCommander war wieder jeweils im C und D:Recycler die Datei mit dem langen Namen plus die neu umbenannte immer noch vorhanden.
:confused:

grad nochmal im abgesicherten Modus per Amok versucht - Dateien immer noch in den Recyclern.... :(