@mindblower

hast du norton schon in den abgesicherten modus laufen lassen?

chaosman

Dies ist ein TrojanDownloader:
I:\WINDOWS\system32\crcf.exe - Datei im abgesicherten Modus löschen.
I:\WINDOWS\system32\atlqq.dll - ebenfalls löschen!

Danach dies fixen:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://I:\WINDOWS\system32\yqpvs.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\yqpvs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://I:\WINDOWS\system32\yqpvs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://I:\WINDOWS\system32\yqpvs.dll/sp.html#29126
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://I:\WINDOWS\system32\yqpvs.dll/sp.html#29126
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://I:\WINDOWS\system32\yqpvs.dll/sp.html#29126
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://I:\WINDOWS\system32\yqpvs.dll/sp.html#29126
R3 - Default URLSearchHook is missing
O2 - BHO: (no name) - {D7C5CDB1-929C-5343-8DEC-E124C92B3342} - I:\WINDOWS\system32\atlqq.dll
O4 - HKLM\..\Run: [crcf.exe] I:\WINDOWS\system32\crcf.exe

@christian : wie gesagt, es sind nach jedem löschen wieder andere dateien befallen. die atlqq.pp war nach dem neustart in dem abges. modus gar nicht mehr vorhanden und nach dem löschen der crcf.exe ist stattdessen wieder was neues verseucht :-(

@chaosman : ja hab ich mehrfach gemacht, er findet keine Viren, aber Bedrohungen, kann diese aber auch nicht eliminieren.
liegt das vielleicht daran das ich nicht in den "abgesicherten modus" komme sondern nur in den "abgesicherten modus mit netztwerktreibern" ?
beim normalen modus bleibt der rechner hängen.

hmm??

Welche Bedrohungen findet er denn? Du kommst nicht in den einfachen abgesicherten Modus? Das ist schon mal nicht gut. Probiere mal E-Scan wie vorgeschrieben upzudaten und im abgesicherten Modus scannen zu lassen:

http://www.trojaner-board.de/42731-escan-anleitung.html

hab escan nochmal geupdatet und komplett gescannt, er fand wieder allerlei "trojan downloader", hat auch alles gelöscht, trotzdem ist nach dem neustart wieder nach ein paar klicks alles beim alten, sprich verseucht :-(((

wie gesagt, normaler abges. modus geht nicht, dann bleibt die kiste hängen, komme nur in den abges. modus mit netzwerktreibern.
und e-scan ist bei mir nicht an c:/bases sondern an i:/bases, da meine XP Inst. hier drauf liegt.

ich denke mal das er immer noch trojaner ausm netz nachlädt, denn im ersten moment nach dem scan gehts immer ganz gut, aber dann...

bin ja mal gespannt ob ich den scheiss noch irgendwie loswerde und freue mich auf weitere antworten !

*hochschiebundweiterhoff*

Hallo mindblower,

überprüfe mit dem online-scan von Kaspersky:

I:\WINDOWS\system32\crcf.exe
I:\WINDOWS\system32\atlqq.dll

Teile uns das Ergebnis der Überprüfung mit. Sende diese Dateien an partytime-germany.ice@web.de, mit Verweis auf diesen Thread (Forschungszweck).


Arbeite nun das Tutorial der Spybot-Forschung Punkt für Punkt durch, überprüfe den Rechner mit Spybot 1.3.1TX, lasse bestehende Probleme beheben. Erstelle einen Spybot-Report und sende ihn an detections@spybot.info, mit dem Betreff "yqpvs.dll/sp.html#29126-TBOARD" und Hinweis auf diesen Thread. (Nicht im Forum posten, da zwecklos!)


Downloade das Programm SpywareBlaster 3.2 und führe es auf dem Rechner aus. Am besten läßt Du alle Häk'chen angefinkt und erstellst damit den Schutz für den/die Browser. Tägliches Updaten online nicht vergessen! So Du Fragen dazu hast, bitte stellen.


Lade (falls nötig) das Clear Prog runter, leere damit die Ordner TEMP, Temporary Internet Files, Cookies und den Verlauf.


Teile uns mit, ob der Einsatz der nun verwendeten Programme zu einem Erfolg geführt hat. Lass uns das Ergebnis der Online-Scan-Überprüfung wissen. (Vergiss nicht die Daten/Spybot-Report abzusenden.) Erstelle ein neues Logfile mit Hijack This und poste es.

SD