Trojaner-Board - Probleme mit Trojaner

Trojaner-Board (https://www.trojaner-board.de/)

- Log-Analyse und Auswertung (https://www.trojaner-board.de/log-analyse-auswertung/)

- - Probleme mit Trojaner (https://www.trojaner-board.de/8314-probleme-trojaner.html)

Probleme mit Trojaner

Hallo,
kann mir jemand von Euch bitte bei folgenden Problemen mit meinem Rechner helfen:

Im Archiv FS570.CAB unter C:/Restore/Archive sind ein oder mehrere infizierte Dateien enthalten (TR/Tinytest.Dld3)
- Im Archiv FS583.CAB unter C:/Restore/Archive sind ein oder mehrere infizierte Dateien enthalten (TR/Drop.FunWeb.A)
- Im Archiv FS574.CAB unter C:/Restore/Archive sind ein oder mehrere infizierte Dateien enthalten

Habe diese Infos von meinem AntivirProgramm erhalten; leider kann ich diese Dateien weder reparieren noch löschen, laut Antivir.

Ich habe dank Eurer Seite über Trojaner und deren Gefahren gelesen, was kann ich tun in meinem Fall?
Danke für Eurer Hilfe!!

LG Paulisa35

Deaktiviere die Systemwiederherstellung -> Neustart -> Aktiviere sie wieder und das Problem ist gelöst.

Um die Sicherheit deines Systems zu erhöhen, solltest du noch folgende Punkte abarbeiten:
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen http://www.datenschutzzentrum.de/sel...sie/config.htm oder http://www.blafusel.de/ie.html
- Sichere und komfortablere Browser wie z.B. Mozilla oder Firefox verwenden http://www.mozilla.org
- Deaktiviere die Datei und Druckerfreigabe

Zitat:

könntest du bitte kurz erklären wie ich das mit der deaktivierung hinbekomme?

http://www.bsi.bund.de/av/texte/wiederher_me.htm

hätt da auch eine frage zu diesem TR/Drop.FunWeb.A...hab mir den beim download von "smileycentral" eingefangen und wollt jetz fragen, ob der irgndeinen schaden anrichten kann! und wenn nicht, warum erkennt ihn dann antivir als virus? und wieso erkennt ihn das virenprogramm von xp nicht? danke :aplaus:

@honey1
hier ein paar infos
http://securityresponse.symantec.com...n.dropper.html

würde dich empfehlen schnellstens ein Hijackthislogfile hier zu posten, es konnte sein dass dein pc schon befallen ist.
http://www.hijackthis.de/
anleitung
chaosman

Logfile of HijackThis v1.98.2
Scan saved at 22:37:26, on 10.12.2004
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe
C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
C:\Programme\CommonSearch\MailCleanerPre.exe
C:\Programme\Kazaa FasterDownload\KazaaFasterDownload.exe
C:\Programme\MSN Video Enhanced\MSNVE.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Programme\Downloads\DayDisplay\DayDisplay.exe
C:\WINDOWS\webshots.scr
C:\Programme\Downloads\Winamp\winamp.exe
C:\PROGRA~1\DOWNLO~1\INCRED~1\INCRED~1\bin\IMApp.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\PROGRA~1\DOWNLO~1\WINZIP\winzip32.exe
C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://windu.t-online.at/tom/sidesearch.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.oe3.at/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.dogpile.com/info.dogpl.dld/
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://windu.t-online.at/tom/sidesearch.php
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = wmplayer.exe //ICWLaunch
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Packard Bell
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: T-Online - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - C:\WINDOWS\DOWNLO~1\tonline.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar1.dll
O3 - Toolbar: T-Online - {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} - C:\WINDOWS\DOWNLO~1\tonline.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar1.dll
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe
O4 - HKLM\..\Run: [ATIPTA] C:\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\System32\spool\drivers\w32x86\3\hpztsb03.exe
O4 - HKLM\..\Run: [MailCleanerPre] C:\Programme\CommonSearch\MailCleanerPre.exe
O4 - HKLM\..\Run: [Debug ] C:\WINDOWS\SMSS.exe
O4 - HKLM\..\Run: [KazaaBooster] C:\Programme\Kazaa FasterDownload\KazaaFasterDownload.exe
O4 - HKLM\..\Run: [Kazaa Download Accelerator Updater] regsvr32 /s C:\WINDOWS\System32\kdpupd.dll
O4 - HKLM\..\Run: [InteliSys] C:\WINDOWS\smss.exe
O4 - HKLM\..\Run: [hihwn] C:\WINNT\hihwn.exe
O4 - HKLM\..\Run: [MSN Video Enhanced] "C:\Programme\MSN Video Enhanced\MSNVE.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKCU\..\Run: [IncrediMail] C:\PROGRA~1\DOWNLO~1\INCRED~1\INCRED~1\bin\IncMail.exe /c
O4 - HKCU\..\Run: [DayDisplay] C:\Programme\Downloads\DayDisplay\DayDisplay.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programme\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NetGuard Lite] "C:\WINDOWS\NetGuard Lite.exe" -STARTUP
O4 - HKCU\..\Run: [ZeroSpyware Lite] "C:\WINDOWS\ZeroSpyware Lite.exe" -STARTUP
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Startup: Webshots.lnk = C:\Programme\Downloads\Webshots\Webshots\Launcher.exe
O4 - Startup: Winamp.lnk = C:\Programme\Downloads\Winamp\winamp.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office\OSA9.EXE
O8 - Extra context menu item: &Add animation to IncrediMail Style Box - C:\PROGRA~1\DOWNLO~1\INCRED~1\INCRED~1\bin\resources\WebMenuImg.htm
O8 - Extra context menu item: &Google Search - res://c:\programme\google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: Im Cache gespeicherte Seite - res://c:\programme\google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: Shorten URL - http://www.cjb.net/menuext.html
O8 - Extra context menu item: Verweisseiten - res://c:\programme\google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Ähnliche Seiten - res://c:\programme\google\GoogleToolbar1.dll/cmsimilar.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - (no file)
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {4E7BD74F-2B8D-469E-D7F0-F660BA9AAE7D} (T-Online) - http://toolbar.t-online.at/tonline.cab
O16 - DPF: {5D9E4B6D-CD17-4D85-99D4-6A52B394EC3B} (WSDownloader Control) - http://www.webshots.com/samplers/WSDownloader.ocx
O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} - http://playroom.icq.com/odyssey_web8.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/is...85/mcfscan.cab
O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents...r/imloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{C7BD35F6-D61A-4A4A-9BAC-25BFB4BF0F68}: NameServer = 195.34.133.13,195.34.133.14

@honey1
lade dir hier escan

führe es durch wie hier beschrieben wird
scan dauert 1 stunde
poste nur die gefundene ergebnisse

chaosman

die windows-firewall blockt das...auf "nicht mehr blocken" klicken???

aaaaaaaah! hilfeeeeee!..jetz is das dos-fenster weg! aber sonst is nix passiert..? :confused:

Wenn du das E-Scan-Update meinst: einfach "erneut nachfragen" wählen.

danke! hab's schon! hab einen blödsinn gmacht *gg* ok, jetz eine stunde warten... :rolleyes:

das hab ich aus dem "virus log information-fenster" kopiert...aber, wenn ich auf view log geh, dann kommt da so ein unendlich langer text, soll ich den jetz auch kopieren??? :confused: wie kommt nur das ganze zeug auf meinen pc... :koch:

File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\Cliprex_388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\ICD2.tmp\utilidadesau.exe infected by "Trojan.Win32.Dialer.ag" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install[1].exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\UUXSGN64\CursorManiaInitialSetup1.0.0.8[1].cab infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG127.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG129.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG12B.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG12C.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\Cliprex_388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\ICD2.tmp\utilidadesau.exe infected by "Trojan.Win32.Dialer.ag" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\ImInstaller\IncrediMail\incredimail_install[1].exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\Temporary Internet Files\Content.IE5\UUXSGN64\CursorManiaInitialSetup1.0.0.8[1].cab infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\~YG127.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\~YG129.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\~YG12B.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Dokumente und Einstellungen\Andrea\Lokale Einstellungen\Temp\~YG12C.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\Programme\Downloads\Clipscreensaver\Clipscreensaver.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\Programme\Downloads\Incredimail\Anti-Virus\mcsetup.exe infected by "not-a-virus:AdWare.Gator.3102" Virus. Action Taken: No Action Taken.
File C:\Programme\Downloads\Kazaa Lite\Kazaa faster dl\kazaaFDL.exe infected by "TrojanDownloader.Win32.Dreamad" Virus. Action Taken: No Action Taken.
File C:\Programme\Downloads\Screensaver\Screensaver Coral free\coralfree.exe infected by "not-a-virus:AdWare.SaveNow.aa" Virus. Action Taken: No Action Taken.
File C:\Programme\Kazaa FasterDownload\huh!.exe infected by "TrojanDownloader.Win32.Dreamad" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP113\A0060484.dll infected by "not-a-virus:AdWare.ToolBar.Hotbar.ad" Virus. Action Taken: No Action Taken.
File C:\System Volume Information\_restore{7CE7FBD0-0CBE-4022-A7B1-C31D8848C4BE}\RP116\A0060692.exe infected by "not-a-virus:AdWare.ToolBar.Hotbar.p" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\Downloaded Program Files\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\WINDOWS\system32\zslfiles\00084.rps infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00108.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00182.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00183.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00185.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00198.rps infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00202.rps infected by "not-a-virus:AdWare.ToolBar.Hotbar.p" Virus. Action Taken: No Action Taken.
File C:\WINDOWS\system32\zslfiles\00204.rps infected by "not-a-virus:AdWare.ToolBar.Hotbar.p" Virus. Action Taken: No Action Taken.

Leere deinen Temp-Ornder und Temp-Internet-Files-Ordner.

Dann deaktiviere die Systemwiederherstellung -> Neustart -> aktiviere die Systemwiederherstellung wieder.

Den Rest lösche manuell im abg. Modus.

Verwende anschl. Ad-aware: www.lavasoft.de
Das Tool ist kostenlos.

wo find ich denn den temp-ordner??? hab jetz unter internetoptionen die cookies und datein aus dem temp ordner gelöscht und das programm nocheinmal drüberlaufen lassen, aber die ganzen dialer etc. sind noch immer im temp-ordner...

Übern Explorer ... du kannst auch dieses Tool verwenden: http://www.clearprog.de/programme/clearprog/index.php

Probleme mit Trojaner Istbar.5.N

den Trojaner istbar.5.N hab ich nirgendwo gefunden im internet....kann jemand mir damit helfen...mein AV antivirus kriegt das zeug nicht weg.!
danke :koch:

so, jetz hab ich alles gelöscht, aber die sind noch immer da:

File C:\WINDOWS\RESTORE.INS tagged as not-a-virus:NetTool.PsKill. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\Cliprex_388.exe infected by "not-a-virus:AdWare.NewDotNet" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\fsg_tmp\accum\Trickler\GTA0050B81F.tmp infected by "not-a-virus:AdWare.Gator.3202" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\ICD2.tmp\utilidadesau.exe infected by "Trojan.Win32.Dialer.ag" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\ImInstaller\IncrediMail\imloader.exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\ImInstaller\IncrediMail\incredimail_install[1].exe tagged as not-a-virus:RiskWare.Downloader.ImLoader.b. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\Temporary Internet Files\Content.IE5\UUXSGN64\CursorManiaInitialSetup1.0.0.8[1].cab infected by "not-a-virus:AdWare.ToolBar.MyWebSearch" Virus. Action Taken: No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG127.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG129.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG12B.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\~YG12C.exe tagged as not-a-virus:PornWare.Dialer.ALifeDialer. No Action Taken.

@ honey1

lade das ClearProg runter, leere damit (die Ordner selbst eingeben):

File C:\DOKUME~1\Andrea\LOKALE~1\Temp
File C:\DOKUME~1\Andrea\LOKALE~1\Temp\Temporary Internet Files\Content.IE5

Damit sollte das Problem behoben sein.

SD