Trojaner-Board - Trojan virus entdeckt aber kann nicht löschen!

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Trojan virus entdeckt aber kann nicht löschen! (https://www.trojaner-board.de/28359-trojan-virus-entdeckt-loeschen.html)

Trojan virus entdeckt aber kann nicht löschen!

HALLO LEUTE!:heulen:

ICH HABE SERIALS.WS BESUCHT:headbang: UND JETZT HABE ICH VIRUS AUF MEINE LAPTOP UND KANN DIE NICHT LÖSCHEN.
ICH BENUTZE BITDEFENDER FREE EDITION, WENN ICH INTERNET EXPLORER ANRUFEN DANN ÖFFNET SICH AUTOMATISCH EINE SEITE ( www.securityfeature.com )

DESKTOP BILD= http://img231.imageshack.us/img231/6986/virus8pr.jpg .

hier sind die gefundene viren von bitdefender:

Statistiken

Pfad prüfen : C:\
D:\
E:\
Ordner : 2965
Dateien : 182786
Archive : 1650
Komprimierte Dateien : 15257
Gefundene Viren : 3
Infizierte Dateien : 8
Warnmeldungen : 0
Verdächtige Dateien : 0
Desinfizierte Dateien : 0
Gelöschte Dateien : 0
Kopierte Dateien : 0
Verschobene Dateien : 7
" Umbenannte Dateien : 0
I/O Fehler : 30
Prüfzeit := 00:28:09
Prüfgeschwindigkeit (Dateien/Sekunde) : 108

Virendefinitionen : 369712
Plugins prüfen : 13
Archiv-Plugins : 39
Entpacker Plugins" : 4
Mail Plugins" : 6
System Plugins" : 1

Prüfoptionen

Finden
[X] Bootsektor prüfen
[X] Archive prüfen
[X] Komprimierte Dateien prüfen
[X] E-Mail prüfen

Dateimaske
[ ] Programme
[X] Alle Dateien
[ ] Benutzerdefinierte Erweiterungen:
[ ] Erweiterungen ausschließen: ;

Aktion

Infizierte Objekte
[ ] Ignorieren
[X] Desinfiziert
[ ] Löschen
[ ] Kopieren
[ ] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Zweite Aktion
[ ] Ignorieren
[ ] Löschen
[ ] Kopieren
[X] In den Quarantäne-Ordner verschieben
[ ] Umbenennen
[ ] Benutzer abfragen

Prüfoptionen
[X] Warnmeldungen aktivieren
[X] Heuristik aktivieren
[ ] Alle Dateien im Bericht anzeigen"
[X] Berichtdatei : vscan.log
[ ] Zum Bericht hinzufügen

Zusammenfassung:

C:\Dokumente und Einstellungen\Fatih\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QVQVU1YJ\support[1].htm Infiziert Exploit.Html.Codebase.Exec.Gen
C:\Dokumente und Einstellungen\Fatih\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QVQVU1YJ\support[1].htm Desinfizierung nicht durchgeführt
C:\Dokumente und Einstellungen\Fatih\Lokale Einstellungen\Temporary Internet Files\Content.IE5\QVQVU1YJ\support[1].htm Verschoben
C:\Programme\Softwin\BitDefender Free Edition\Infected\support[1].htm Infiziert Exploit.Html.Codebase.Exec.Gen
C:\Programme\Softwin\BitDefender Free Edition\Infected\support[1].htm Desinfizierung nicht durchgeführt
C:\Programme\Softwin\BitDefender Free Edition\Infected\support[1].htm Verschieben fehlgeschlagen
C:\WINDOWS\Temp\win181.tmp.exe Infiziert Trojan.Dialer.OY
C:\WINDOWS\Temp\win181.tmp.exe Desinfizierung nicht durchgeführt
C:\WINDOWS\Temp\win181.tmp.exe Verschoben
C:\WINDOWS\Temp\win191.tmp.exe Infiziert Trojan.Dialer.OY
C:\WINDOWS\Temp\win191.tmp.exe Desinfizierung nicht durchgeführt
C:\WINDOWS\Temp\win191.tmp.exe Verschoben
C:\WINDOWS\Temp\win1D8.tmp.exe Infiziert Trojan.Dialer.OY
C:\WINDOWS\Temp\win1D8.tmp.exe Desinfizierung nicht durchgeführt
C:\WINDOWS\Temp\win1D8.tmp.exe Verschoben
C:\WINDOWS\Temp\win21D.tmp.exe Infiziert Trojan.Dialer.OY
C:\WINDOWS\Temp\win21D.tmp.exe Desinfizierung nicht durchgeführt
C:\WINDOWS\Temp\win21D.tmp.exe Verschoben
C:\WINDOWS\Temp\win90.tmp.exe Infiziert Trojan.Dialer.OY
C:\WINDOWS\Temp\win90.tmp.exe Desinfizierung nicht durchgeführt
C:\WINDOWS\Temp\win90.tmp.exe Verschoben
C:\WINDOWS\YMANTE~1\mmc.exe Infiziert Trojan.PurityScan.AT
C:\WINDOWS\YMANTE~1\mmc.exe Desinfizierung nicht durchgeführt
C:\WINDOWS\YMANTE~1\mmc.exe Verschoben
Geprüfte Dateien

wie kriege ich dass alles weg oder was muss ich machen?

Mit freundlichen Grüßen

Hallo Türke,
erstelle ein HijackThis-Logfile wie es dir hier erklärt wird.Download ist auch dabei.
Wie gehst du ins Internet ? DSL ?
http://www.trojaner-board.de/showthread.php?t=17493
Irrlicht

ich benutze dsl und mit wireless.

Logfile of HijackThis v1.99.1
Scan saved at 21:10:59, on 13.04.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Photodex\ProShowGold\ScsiAccess.exe
C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\PAStiSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe
C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Programme\Synaptics\SynTP\SynTPLpr.exe
C:\Programme\Synaptics\SynTP\SynTPEnh.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Programme\ltmoh\Ltmoh.exe
C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe
C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
C:\Programme\ClocX\ClocX.exe
C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe
C:\WINDOWS\wt\wcmdmgr.exe
C:\Programme\DigitalPeers\CamTrack\dptracker.exe
C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\MSN Messenger\MsnMsgr.Exe
C:\Programme\CursorXP\CursorXP.exe
C:\Programme\SAMSUNG\MagicKBD\MagicKBD.exe
C:\WINDOWS\ISW\alice\signup\ConnctAs.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\wscntfy.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\WINDOWS\TEMP\win6F.tmp.exe
C:\Dokumente und Einstellungen\Fatih\Desktop\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.alice-dsl.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.2020search.com/search/9884/search.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchURL = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.2020search.com/search/9884/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = prosearching.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page_bak = prosearching.com
O2 - BHO: Windows Resources - {2D38A51A-23C9-48a1-A33C-48675AA2B494} - C:\WINDOWS\winres.dll
O2 - BHO: Nothing - {7a932ed2-1737-4ab8-b84d-c71779958551} - C:\WINDOWS\system32\hpEF70.tmp
O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Programme\MSN Toolbar\01.01.2607.0\de\msntb.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Programme\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Programme\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SynTPLpr] C:\Programme\Synaptics\SynTP\SynTPLpr.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Programme\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [LtMoh] C:\Programme\ltmoh\Ltmoh.exe
O4 - HKLM\..\Run: [MagicKeyboard] C:\Programme\SAMSUNG\MagicKBD\PreMKBD.exe
O4 - HKLM\..\Run: [AVStation premium] "C:\Programme\Samsung\AVStation premium\bin\AVStation agent.exe"
O4 - HKLM\..\Run: [BatteryManager] C:\Programme\Samsung\Samsung Battery Manager\BatteryManager.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Programme\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [BDMCon] C:\PROGRA~1\Softwin\BITDEF~1\bdmcon.exe
O4 - HKLM\..\Run: [BDNewsAgent] C:\Programme\Softwin\BitDefender Free Edition\bdnagent.exe
O4 - HKLM\..\Run: [wcmdmgr] C:\WINDOWS\wt\wcmdmgrl.exe -launch
O4 - HKLM\..\Run: [ClocX] C:\Programme\ClocX\ClocX.exe
O4 - HKLM\..\Run: [Samsung Common SM] "C:\WINDOWS\Samsung\ComSMMgr\ssmmgr.exe" /autorun
O4 - HKLM\..\Run: [PayTime] C:\WINDOWS\system32\paytime.exe
O4 - HKLM\..\Run: [dptracker] C:\Programme\DigitalPeers\CamTrack\dptracker.exe
O4 - HKLM\..\Run: [Ulead AutoDetector] C:\Programme\Ulead Systems\Ulead Photo Explorer 8.0 SE Basic\Monitor.exe
O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause
O4 - HKLM\..\Run: [winupdates] C:\Programme\winupdates\winupdates.exe /auto
O4 - HKLM\..\Run: [Ulead AutoDetector v2] C:\Programme\Gemeinsame Dateien\Ulead Systems\AutoDetector\monitor.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [CursorXP] C:\Programme\CursorXP\CursorXP.exe
O4 - HKCU\..\Run: [SpyBrowser] C:\Programme\SpyBro\SpyBro.exe /autostart
O4 - Startup: Webshots.lnk = C:\Programme\Webshots\Launcher.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_06\bin\ssv.dll (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O15 - Trusted Zone: *.flingstone.com
O15 - Trusted Zone: *.i-lookup.com
O15 - Trusted Zone: *.offshoreclicks.com
O15 - Trusted Zone: *.teensguru.com
O15 - Trusted Zone: *.xxxtoolbar.com
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab
O16 - DPF: {74CD40EA-EF77-4BAD-808A-B5982DA73F20} - http://yax-download.yazzle.net/YazzleActiveX.cab?refid=1162
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9EB320CE-BE1D-4304-A081-4B4665414BEF} (MediaTicketsInstaller Control) - http://www.mt-download.com/MediaTicketsInstaller.cab?refid=5071
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O16 - DPF: {FE0BD779-44EE-4A4B-AA2E-743C63F2E5E6} (IWinAmpActiveX Class) - http://player.radyotvonline.com/ampx_en_dl.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E71DC96A-AAB9-429A-B8C7-F7666DF77626}: NameServer = 213.191.74.18 213.191.92.86
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - Winlogon Notify: msupdate - msupdate32.dll (file missing)
O20 - Winlogon Notify: winrkq32 - C:\WINDOWS\SYSTEM32\winrkq32.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: BitDefender Scan Server (bdss) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Scan Server\bdss.exe" /service (file missing)
O23 - Service: ScsiAccess - Unknown owner - C:\Programme\Photodex\ProShowGold\ScsiAccess.exe
O23 - Service: SNM WLAN Service - Unknown owner - C:\Programme\samsung\Samsung Network Manager\SNMWLANService.exe
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
O23 - Service: STI Simulator - Unknown owner - C:\WINDOWS\System32\PAStiSvc.exe
O23 - Service: BitDefender Communicator (XCOMM) - Unknown owner - C:\Programme\Gemeinsame Dateien\Softwin\BitDefender Communicator\xcommsvr.exe" /service (file missing)

MEISTER UND JETZT?

Hallo Türke,
nach meiner Meinung wirst du das nie wieder ordentlich sauber bekommen.Die dafür benötigte Zeit ist weit höher anzurechnen,als die Zeit die du für eine Neuinstallation brauchst.
Das hier wäre mein Rat :
http://www.trojaner-board.de/showthread.php?t=12154
Wenn du das als Vorlage nimmst und dich an die weiteren aufgeführten Punkte hältst,wirst du ein sauberes System bekommen und auch behalten können.
Irrlicht

Hallo Meister irrlicht,:nixda:

Da ich viele Daten installiert habe, finde ich schade neu zu installieren. :(
Ich bin bereit alles zu tum um die Vieren weg zu bekommen.;)

Diese Seite habe ich auch mit große Interesse gelesen.
http://www.trojaner-board.de/showthread.php?t=12154

Wenn sie weiter helfen können würde ich mich sehr freuen!

Darf ich mal was sagen? :crazy:
Ich glaube es ist das selbe was ich auch hatte (Startpage:www.securityfeature.com und folgende Trojaner: Troj/Dialer.OY & Troj/PurityScan.AT hatte ich AUCH ;))

Nun meine Diagnose:
1. auf dem PC war NOCH folgendes zu finden...
WORM/Alcra.B
2. Das hat was mit Spyware-Quake zu tun (laut meiner Erfahrung)
3.Das hängt alles zusammen. Wenn du WORM/alcra.B nicht auffindest,
wurde wahrscheinlich eine "light version" des ganzen auf deinen PC gejagt (bzw. ein leerer Sack der noch mit Viren aufgefüllt werden kann xD).

Sag mir bitte ob du Spyware Quake auf deinem PC hast (siehst du unten rechts eine Sprechblase mit dem text "Your computer is infected"? Oder einen grünen Rollstuhlfahrer und wenn du mit der Maus drübergehst steht da Virus Alert?)

Eigentlich müsstest du dann den Smitfraud-Trojaner noch draufhabe, aber ich will dich nich zutexten. ^^

Also schaue bitte UNTEN RECHTS in der leiste, ob da irgendwas nicht normal ist/ irgendwelche SPrechblasen erscheinen.

Viel erfolg ;)

GENAU DAS ALLES HATTE ICH AUCH ABER DIE HAT MEIN FREUND SCHON WEGBEKOMMEN MIT KILLBOX.
ABER Startpage:www.securityfeature.com HABE ICH IMMERNOCH:

Hallo Türke,
du kannst es ja mal damit versuchen:http://virus-protect.org/artikel/spy...warequake.html
Trotzdem halte ich weiter daran fest das Neuaufsetzen besser ist.Du wirst nach der Neuinstallation auch eine wesentlich schnellere Kiste haben,da der ganze alte Müll der sich angesammelt hat ,weg sein wird.Deine Daten kannst du dir auf CD brennen ,wenn es sich nicht um ausfürbare Dateien handelt.Also alles was ein "exe,com,dat, im Namen trägt,läßt du löschen..Bilder und Musik auf CD brennen und bei einem Onlinescanner prüfen.
Unbedingt dein Surfverhalten überdenken !
Bearshare deinstallieren,ist eine große Virenschleuder.
Letztendlich ist es deine Kiste und du kannst damit tun was immer dir beliebt,aber dann wirst du auch mit den Folgen leben müssen.
Irrlicht

hallo irrlicht,

habe meine system neu installiert danke für unterstütüzung!
aber eine frage welche vierenscanner soll ich benutzen?