Trojaner-Board - kann mir jemand helfen ??

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - kann mir jemand helfen ?? (https://www.trojaner-board.de/15417-mir-jemand-helfen.html)

kann mir jemand helfen ??

Hallo !!! Habe ein Problem !!!! Eben hat mir mein antivir laufend trojaner meldungen gegeben, wollte die datei löschen aber sie ist immer wieder gekommen !!!! Habe jetzt eben im abgesicherten Modus den Schredder, adaware und spyboot durchlaufen lassen, adaware hatte auch ein paar sachen gefunden, okay habe sie gelöscht !!!! Mein Desktop Hintergrung ist schwarz und es steht da WARNING! YOU'RE IN DANGER! , und es wird versucht laufend ne internetverbindung herzustellen ?? Okay hier mal mein log, vielleicht kann mir ja jemand helfen !!!!!!Ach ja habe xp, sp2

DANKE

Logfile of HijackThis v1.99.1
Scan saved at 14:37:12, on 15.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://total-search.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll (file missing)
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll (file missing)
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{52D56609-0DC6-4C11-BA82-2A5CDCDD78F8}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Es lebe die Suchfunktion..

http://www.trojaner-board.de/showthr...er+Hintergrund

oder

http://www.trojaner-board.de/showthr...2&page=2&pp=10

Na, kommt Dir das bekannt vor ?

Also neu aufsetzen...

Wie ?

Siehe meine Signatur....

Make it so...

@ FancyAndy

wieso gleich neu aufsetzen ich kann es noch nicht erkennen :crazy:

@ auto

mit dem schwarzen Hintergrund versuch es mal so:

Zitat:

1 - Taskleiste Rechtsklick - Eigenschaften.
2 - Taskleiste automatisch ausblenden Aktivieren.
3 - Man kann nun einen kleinen Teil des alten Desktop hintergrundes sehen, da wo die Taskleiste früher war.
4 - Rechtsklick - Eigenschaften auf den kleinen alten Desktop ausschnitt.
5 - Dektop - Desktop anpassen
6 - Web-Karteikarte auswählen
7 - Eintrag "Security" Löschen

lade Dir eScan siehe Beschreibung unten, aber noch nicht scannen

--> boote in den abgesicherter Modus , deaktiviere die Systemwiederherstellung , und fixe dann mit Hijack This (Häk'chen setzen und auf Fix Checked klicken - Anleitung

und fixe mit HJT folgende Einträge:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://total-search.biz/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank
R3 - Default URLSearchHook is missing
O2 - BHO: IE Search Toolbar Helper - {2C5175A2-ADF3-4F57-AB70-BA90FD60A383} - C:\Programme\IESearchToolbar\IESearchToolbar.dll (file missing)
O3 - Toolbar: IE Search Toolbar - {EB381422-F797-4A98-A266-9DC490821907} - C:\Programme\IESearchToolbar\IESearchToolbar.dll (file missing)
O4 - HKLM\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe
O4 - HKCU\..\RunOnce: [Srv32 spool service] C:\WINDOWS\System32\spoolsrv32.exe

lösche von Hand folgende Dateien:

C:\WINDOWS\System32\spoolsrv32.exe

scanne mit eScan
Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung . Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu.

--> Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus:

=> Total Files Scanned:
=> Total Virus(es) Found:
=> Total Disinfected Files:
=> Total Files Renamed:
=> Total Deleted Files:
=> Total Errors:
=> Time Elapsed:
=> Virus Database Date:
=> Virus Database Count:
=>Total Number of Files Scanned:
=>Total Number of Virus(es) Found:
***** Scanning complete. *****

--> Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert)

neu booten neues HJT posten

@ Gigamail : Siehe 2. Link von meinem Posting :-)

@ FancyAndy

muss mir wohl entgangen sein :blabla: aber was ist mit dem Rest bei mir steht doch noch mehr drin ;)

Hallo, bin wieder zurück !!! Erstmal Danke das Ihr mir helft :)
So dann erzähl ich mal, der schwarze Hintergrund is weg, laut Anleitung :huepp:
Die Einträge die ich fixen sollte habe ich gefixt, und die eine Datei von Hand gelöscht !!! Habe eScan laufen lassen mit folgendem Ergebnis !!
Ich hoffe sehr das Ihr mir jetzt helfen könnt :dummguck: Danke

=> Total Files Scanned: 28258
=> Total Virus(es) Found: 8
=> Total Disinfected Files: 0
=> Total Files Renamed: 0
=> Total Deleted Files: 0
=> Total Errors: 6
=> Time Elapsed: 00:28:39
=> Virus Database Date: 2005/03/11
=> Virus Database Count: 121166

Hier die infected Suche :

File C:\WINDOWS\System32\srpcsrv32.dll infected by "Trojan-Downloader.Win32

File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.c" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004985.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004986.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004987.exe infected by "Trojan-Dropper.Win32.Small.tt" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004988.exe infected by "Trojan-Dropper.Win32.Small.oy" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004989.exe infected by "Trojan-Dropper.Win32.Small.tt" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004990.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004991.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004992.exe infected by "Trojan-Dropper.Win32.Small.tt" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004993.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0004995.exe infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0005001.exe infected by "Trojan-Dropper.Win32.Small.tu" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0005002.exe infected by "Trojan-Downloader.Win32.Domcom.c" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0005003.exe infected by "Trojan-Dropper.Win32.Small.tu" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0005004.exe infected by "Trojan-Dropper.Win32.Small.tu" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0005005.exe infected by "Trojan-Dropper.Win32.Small.tu" Virus. Action Taken: No Action Taken.

File C:\System Volume Information\_restore{D28CD9A3-1B14-4AB6-9539-510C6648622F}\RP16\A0005007.dll infected by "not-a-virus:AdWare.ToolBar.Perez.a" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\winsx.dll infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Take

File C:\WINDOWS\system32\jpcd.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\jpcd.dll infected by "Trojan.Win32.StartPage.qr" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\srpcsrv32.dll infected by "Trojan-Downloader.Win32.Adload.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\system32\txfdb32.dll infected by "Trojan-Downloader.Win32.Adload.c" Virus. Action Taken: No Action Taken.

File C:\WINDOWS\winsx.dll infected by "not-a-virus:AdWare.Puper.c" Virus. Action Taken: No Action Taken.

und hier mein HJT log:

Logfile of HijackThis v1.99.1
Scan saved at 20:23:24, on 15.03.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
C:\Programme\QuickTime\qttask.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_01\bin\jusched.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_01\bin\npjpi150_01.dll
O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{52D56609-0DC6-4C11-BA82-2A5CDCDD78F8}: NameServer = 217.237.150.225 217.237.150.141
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Hallo auto,

wechsel in den abgesicherten Modus bei deaktivierter Systemwiederherstellung http://www.systemwiederherstellung-d...indows-xp.html
und lösche alles als infected identifizierten Dateien.

C:\System Volume Information\_restore <-- diese nicht, die werden durch die Deaktivierung der Systemwiederherstellung entfernt.

Neustart --> Systemwiederherstellung aktivieren.

dartus

@FancyAndy,

das Logfile mit dem Backdoor sah ja wohl ein wenig anders als aus dieses hier.

Dein Logfile sieht sauber aus

lade die KillBox boote in den abgesicherten Modus deaktiviere die Systemwiederherstellung, Delete on Reboot anklicken lade alle gefundenen Dateien einzeln in die Killbox, drücke auf das rote Kreuz, wenn Du gefragt wirst "Do you want to reboot?" auf no erst bei der letzten auf yes drücken

Zitat:

C:\System Volume Information\_restore

die in dem Ordner sind brauchst du nicht in die Box zu laden die sind weg nach einem Neustart.

Neu booten Systemwiederherstellung wieder aktivieren, damit sollte dein Problem gelösst sein

Zum Absichern vom System mal den Link von Cidre lesen wichtig für Dich was nach der Neuaufsetzung steht

@Gigamail,

zeitgleich! :party:

@ dartus

ja manchmal klappt das ;) ;)

@auto:
Ursache für Dein Problem ist der IE. Warum benutzt Du diesen bekanntermaßen unsicheren Browser?

Gruß :daumenhoc
Yopie

Juhuu , hab alles gemacht, und mein PC macht nen richtig guten Eindruck , und schnell ist der auf einmal puhhh , DANKE für die Hilfe, aber ich bin auch echt ins schwitzen gekommen hier :party: :huepp:
Werde mir hier alles genau mal durchlesen und dann wohl auch nen anderen Browser benutzen mal gucken welchen !!?
schönen Abend euch allen noch :party: