![]() |
Antivir hat Trojaner erkannt Hi, gestern hat mein Antivir (Version 6) einen Trojaner erkannt. Es erschien folgende Meldung: "C:\WINDOWS\ADDIH32.EXE Ist das Trojanische Pferd TR/Dldr.Agent.BQ" Ich hatte nun folgende Möglichkeiten, mit der Datei umzugehen: - in Quarantäneverzeichnis verschieben - löschen - überschreiben und löschen - umbenennen - Zugriff verweigern und Datei belassen - Zugriff erlauben und Datei belassen Egal, was ich nun auswähle, die Antivir-Meldung erscheint fast immer wieder, wenn ich eine neue Internetseite besuche. Außerdem wird als Startseite plötzlich "about:blank" angezeigt. Will ich die Startseite wieder ändern (in Google), so zeigt es beim nächsten öffnen des Internet Explorers erneut "about:blank" an, auch in den Internetoptionen. Auch die Antivir-Meldung erscheint erneut. Dazu öffnet sich oft, wenn ich eine neue Internetseite besuche, die damit eigentlich nichts zu tun hat (auch bei diesem Forum), ein Fenster (Bezeichnung "Only the Best"), welches vorher nie erschien, mit einer Werbug für "angebliche" Antivirus-Software ("XOFTSPY" und "ADS Adware Remover") und anderes (iFriends - Registration), die man über einem Direktlink kostenlos downloaden könne bzw. wo man sich direkt anmelden könne. Die Links habe ich natürlich nicht geöffnet, da ich dahinter Viren vermute und ja auch schon Virenschutz habe. Wie kann ich nun das Problem des ständigen Auftretens der "Werbefenster" und der Antivir-Warnung beheben? Kann mir jemand helfen? Kennt jemand die Trojaner-Bezeichnung bzw. das Problem? Gruss Tom |
|
Hallo, lade und scanne mit eScan AntiVirus im abgesicherten Modus wie beschrieben. Poste anschliessend die Virus Log Information von eScan AntiVirus und ein HJT Log-File: Öffne die mwav.log -> Bearbeiten -> Suchen -> infected oder tagged eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen. |
Hallo! Habe genau dasselbe Problem und mal ein Log gespeichert. Wäre toll, wenn ihr mir helfen könntet!! Logfile of HijackThis v1.99.0 Scan saved at 19:12:57, on 22.12.2004 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\Explorer.EXE C:\Programme\D-Tools\daemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\RUNDLL32.EXE C:\WINDOWS\System32\ctfmon.exe C:\Programme\FRITZ!\IWatch.exe C:\Programme\FRITZ!\FriWeb32.exe C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\WinAce\WinAce.exe C:\DOKUME~1\Jonas\LOKALE~1\Temp\~AceTemp\hijackthis_199[1]\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {232A78D5-31A4-4CAC-CDA6-16A201F3FDD0} - C:\WINDOWS\ipol32.dll O2 - BHO: (no name) - {41D1FB4F-5E80-DEB8-E8F9-BB34248E60B0} - C:\WINDOWS\ipol32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: ISDNWatch.lnk = C:\Programme\FRITZ!\IWatch.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_fi...a29296baabe1d6 O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1111.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{C8574D0A-D521-4371-BBF9-99AD1FCE3E94}: NameServer = 192.168.120.252,192.168.120.253 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: NVIDIA Display Driver Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Network Security Service - Unknown - C:\WINDOWS\iezj32.exe (file missing) ^ I I das sagt mir gar nix :crazy: Grüße |
Im abg. Modus löschen: C:\WINDOWS\ipol32.dll Fixen: R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\lpflg.dll/sp.html#37049 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {232A78D5-31A4-4CAC-CDA6-16A201F3FDD0} - C:\WINDOWS\ipol32.dll O2 - BHO: (no name) - {41D1FB4F-5E80-DEB8-E8F9-BB34248E60B0} - C:\WINDOWS\ipol32.dll O15 - Trusted Zone: *.05p.com O15 - Trusted Zone: *.awmdabest.com O15 - Trusted Zone: *.clickspring.net O15 - Trusted Zone: *.flingstone.com O15 - Trusted Zone: *.frame.crazywinnings.com O15 - Trusted Zone: *.mt-download.com O15 - Trusted Zone: *.my-internet.info O15 - Trusted Zone: *.scoobidoo.com O15 - Trusted Zone: *.searchbarcash.com O15 - Trusted Zone: *.searchmiracle.com O15 - Trusted Zone: *.static.topconverting.com O15 - Trusted Zone: *.05p.com (HKLM) O15 - Trusted Zone: *.awmdabest.com (HKLM) O15 - Trusted Zone: *.clickspring.net (HKLM) O15 - Trusted Zone: *.flingstone.com (HKLM) O15 - Trusted Zone: *.frame.crazywinnings.com (HKLM) O15 - Trusted Zone: *.mt-download.com (HKLM) O15 - Trusted Zone: *.my-internet.info (HKLM) O15 - Trusted Zone: *.scoobidoo.com (HKLM) O15 - Trusted Zone: *.searchbarcash.com (HKLM) O15 - Trusted Zone: *.searchmiracle.com (HKLM) O15 - Trusted Zone: *.static.topconverting.com (HKLM) O15 - Trusted IP range: 206.161.125.149 O15 - Trusted IP range: 206.161.125.149 (HKLM) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...8a29296baabe1d6 O16 - DPF: {51EA44E6-C8C3-4E30-8F3D-D8EE71A44DCB} (Upload Control) - https://img.web.de/v/fotoalbum/activex/upload_1111.cab O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/...n/bin/cabsa.cab O16 - DPF: {8EB3FF4E-86A1-4717-884D-7BA2D38272CB} (F-Secure Online Scanner) - https://www5.pc-sicherheit.web.de/ols/fscax.cab O23 - Service: Network Security Service - Unknown - C:\WINDOWS\iezj32.exe (file missing) Künftig nur mit sichere Browser surfen: www.firefox-browser.de Bitte besuche www.windowsupdate.com und installiere dir alle Updates und Patches. |
@ weicki Diese Datei ebenfalls löschen: C:\WINDOWS\system32\lpflg.dll |
Danke, Cidre. Dies ist mir heute schon das 2.te mal passiert. |
Hallo! Vielen, vielen Dank schonmal! Muss ich das auf eine besondere Art löschen oder reicht es einfach mit rechts draufzuklicken und es so zu löschen?? und die datei C:\WINDOWS\system32\lpflg.dll sehe ich nicht!?! und was ist mit "fixen" gemeint?? sorry, kenne mich damit überhaupt nicht aus |
@ *Christian* Gern geschehen. ;) @ weicki So wie du beschrieben hast löschen. btw: Wenn du bestimmte Dateien nicht sehen kannst, dann führe dies aus: Windows Explorer (Win Taste + E) -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)", und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK" Fixen: HiJackThis nochmals starten -> Scan klicken -> vor den genannten Einträgen einen Haken setzen und auf Fix Checked klicken. Wenn sich einige O15 Einträge nicht löschen lassen, dann: http://www.trojaner-board.de/showpos...6&postcount=31 |
Schon mal vielen, vielen Dank, AntiVir zeigt den Trojaner nicht mehr an. Aber unter Software sind immernoch die Programme "Search Extender", "Search Bar", "Home search assistent", "shopping wizard", die sich nicht entfernen lassen. Könnt ihr mir sagen, wie ich die löschen kann?? grüße |
Vermutlich wurden die Programme unsauber deinstalliert. Start -> Ausführen -> regedit -> OK -> navigiere zu diesem Schlüssel "HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall" -> lösche die Unterschlüssel die auf diese Einträge "Search Extender", "Search Bar", "Home search assistent", "shopping wizard" verwaisen. |
Hi, da ich nicht weiß, ob bei mir das gleiche, wie bei weicki zu tun ist, poste ich hier trotzdem mein HJT Logfile und die Ergebnisse von eScan. eScan: Thu Dec 23 16:24:39 2004 => File C:\Dokumente und Einstellungen\Anke\Lokale Einstellungen\Temporary Internet Files\Content.IE5\UT0RUX25\go[1].hta infected by "TrojanDropper.VBS.Inor.a" Virus. Action Taken: No Action Taken. Thu Dec 23 16:31:48 2004 => File C:\Programme\AntiVir\INFECTED\MKLIR.DLL.VIR infected by "TrojanDownloader.Win32.WinShow.ak" Virus. Action Taken: No Action Taken. Thu Dec 23 16:35:55 2004 => File C:\Programme\HijackThis\backup-20041103-175958-355.dll tagged as not-a-virus:RiskWare.Dialer.UDIS.b. No Action Taken. Thu Dec 23 16:14:41 2004 => File C:\Dokumente und Einstellungen\Anke\Desktop\Esheep.exe tagged as not-a-virus:Simulator.Win16.Sheep. No Action Taken. HJT: Logfile of HijackThis v1.98.2 Scan saved at 14:29:21, on 23.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir\AVGUARD.EXE C:\Programme\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe C:\WINDOWS\System32\RUNDLL32.exe C:\Programme\AntiVir\AVGNT.EXE C:\Programme\Internet Explorer\IEXPLORE.EXE C:\Programme\HijackThis\HijackThis.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {9005B7E4-713A-68F7-DA3A-3B9C0B2AC5EB} - C:\WINDOWS\system32\winwt32.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174 O17 - HKLM\System\CS1\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174 Da scheinbar bei den Temporary Internet Files der Trojaner ist, habe ich bei den Internetoptionen im Internetexplorer die Temporären Dateien gelöscht. Das hat aber nichts gebracht. Gruss Tom |
Nochmal, dies gibts doch net. Wurde die Datei von eScan nicht angemeckert? Sende mal die Datei C:\WINDOWS\system32\winwt32.dll an partytime-germany.ice@web.de Dann gehe wie folgt vor: Lösche dies im abg. Modus: C:\WINDOWS\system32\winwt32.dll C:\WINDOWS\system32\qwwns.dll Leere den AntiVir-Quarantäne-Ordner. Außerdem leere deinen Temp-Internet-Files-Ordner im abg. Modus. Dann fixe mit HijackThis dies (von den genannten Einträgen ein Häckchen setzen und dann auf FIX CHECKED klicken - dies alles im Programm von HijackThis): R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\qwwns.dll/sp.html#28129 R3 - Default URLSearchHook is missing O2 - BHO: (no name) - {9005B7E4-713A-68F7-DA3A-3B9C0B2AC5EB} - C:\WINDOWS\system32\winwt32.dll So, jetzt müsste zumindest der Hijacker weg sein. |
@ TomH Diesen Eintrag ebenfalls fixen: O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain Auch diese Dateien sollten entfernt werden: C:\WINDOWS\system32\qwwns.dll Ordner C:\Programme\WildTangent btw: Diese Datei C:\WINDOWS\system32\lpflg.dll wirst du nicht finden, da sie aus dem Log-File von weicki stammt. Poste danach nochmal ein HJT Log-File aber mit der neuen Version 1.99. |
Zitat:
|
Hallo, ich habe nun alles wie beschrieben gelöscht, gefixt und die eine Datei versendet. Trotzdem hat sich noch nicht wirklich was getan. Hier ist das neue HJT-Logfile: Logfile of HijackThis v1.99.0 Scan saved at 14:07:32, on 24.12.2004 Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AntiVir\AVGUARD.EXE C:\Programme\AntiVir\AVWUPSRV.EXE C:\WINDOWS\System32\nvsvc32.exe C:\WINDOWS\System32\tcpsvcs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\ipue.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\SOUNDMAN.EXE C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe C:\Programme\AntiVir\AVGNT.EXE C:\WINDOWS\system32\ipit.exe C:\Programme\HijackThis\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R3 - Default URLSearchHook is missing O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx O2 - BHO: (no name) - {D60F8F8E-F454-96F2-A434-9E44DA8D64C8} - C:\WINDOWS\system32\appyq.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O3 - Toolbar: &Yahoo! Companion - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Messenger\ycomp.dll O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Programme\Roxio\WinOnCD 6 SE\DirectCD\DirectCD.exe" O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AntiVir\AVGNT.EXE" /min O4 - HKLM\..\Run: [ipit.exe] C:\WINDOWS\system32\ipit.exe O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe O12 - Plugin for .spop: C:\Programme\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/S.../bin/cabsa.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174 O17 - HKLM\System\CS1\Services\Tcpip\..\{0D3AEC89-72FD-4996-8A64-FD95088BFF08}: NameServer = 145.253.2.81 145.253.2.174 O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AntiVir\AVGUARD.EXE O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AntiVir\AVWUPSRV.EXE O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe O23 - Service: Network Security Service (NSS) - Unknown - C:\WINDOWS\system32\ipue.exe eScan lasse ich wohl später nochmal durchlaufen, hatte noch nicht die Zeit. Frohes Fest :heilig: Tom |
Da ist ja auch wieder neue Malware. Scanne mit eScan und lösche die infizierten Dateien manuell im abg. Modus. Danach poste nochmal ein neues Log. |
Hi, vielen Danke für die bisherige Hilfe. Wirklich gebracht hat das allerdings alles nichts. Mit eScan habe ich nichts neues gefunden. Die Meldung kam aber immer wieder. Die von Antivir gefundene Datei hieß auch immer anders. Es war wahrscheinlich ein sehr hartnäckiger Trojaner, der sich möglicherweise immer wieder selbst woanders hin kopiert hat oder Ähnliches. Ein Verwandter von mir, der sich ziemlich gut mit PCs auskennt, meinter der PC sei "richtig schön verseucht". Er hat ihn gleich mitgenommen und mach Kahlschlag (format c), um alles wieder trojanerfrei neu einzurichten. Er will auch gleich aktuelle Sicherheitsstandarts draufmachen. Außerdem habe ich wohl bald DSl (bisher Modem :snyper: ) und kann mir Sicherheitsupdate schnell selbst downloaden. Das Problem ist damit also im Prinzip gelöst. Gruss Tom, der diesen Beitrag vom alten 400 Mhz PC geschrieben hat. |
hi, habe auch gleiches problem und weiss nicht was ich löschen soll oder was nicht. wäre nett, wenn mir einer sagen kann was i löschen soll. Logfile of HijackThis v1.99.0 Scan saved at 13:20:12, on 21.01.2005 Platform: Windows XP (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 (6.00.2600.0000) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Programme\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.516\HijackThis.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\ehhev.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\ehhev.dll/sp.html#37049 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\ehhev.dll/sp.html#37049 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = res://C:\WINDOWS\system32\ehhev.dll/sp.html#37049 O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {69C2D265-3B93-BC0A-676E-D0FD27DA5AC6} - C:\WINDOWS\system32\winvw.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\j2re1.4.2_05\bin\jusched.exe O4 - HKLM\..\Run: [QuickTime Task] C:\WINDOWS\System32\qttask.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Programme\Gemeinsame Dateien\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programme\Messenger Plus! 3\MsgPlus.exe" O4 - HKLM\..\Run: [ToUcamVProperty] C:\PROGRA~1\PHILIP~1\VProperty.exe O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKLM\..\Run: [SmcService] C:\PROGRA~1\Sygate\SPF\smc.exe -startgui O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: NkvMon.exe.lnk = C:\Programme\Nikon\NkView6\NkvMon.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\j2re1.4.2_05\bin\npjpi142_05.dll O15 - Trusted IP range: (HKLM) O23 - Service: AVK Service - Unknown - C:\Programme\AntiVirenKit 2004\AVKService.exe O23 - Service: AVK Wächter - Unknown - C:\Programme\AntiVirenKit 2004\AVKWCtl.exe O23 - Service: Sygate Personal Firewall - Sygate Technologies, Inc. - C:\Programme\Sygate\SPF\smc.exe und das hier von eScan: File C:\WINDOWS\tczyq.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\ehhev.dll infected by "not-a-virus:AdWare.JS.OneMoreSearch.a" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\exdl1.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\exdl2.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\exul1.exe infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\javex80.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\javexulm.vxd infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\mqexdlm.srg infected by "not-a-virus:AdWare.BargainBuddy.n" Virus. Action Taken: No Action Taken. File C:\WINDOWS\System32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. File C:\WINDOWS\System32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. File C:\WINDOWS\System32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. File C:\WINDOWS\System32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. File C:\WINDOWS\System32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. File C:\Dokumente und Einstellungen\J-WILL\Lokale Einstellungen\Temp\~vis0000\rebootnt.exe tagged as not-a-virus:Tool.Win32.Reboot. No Action Taken. File C:\Easydivx\softs\ck.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. File C:\WINDOWS\system32\instsrv.exe tagged as not-a-virus:RiskWare.Tool.ServiceRunner.f. No Action Taken. File F:\programme\Patch\stylemaster352_patch.exe tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File F:\programme\Style Master v3.5.2.rar tagged as not-a-virus:Tool.Win32.TPE.a. No Action Taken. File F:\programme\video_dvd_usw\EasyDivX0792_setup.exe tagged as not-a-virus:Tool.Win32.Pcwelt.a. No Action Taken. |
Alle Zeitangaben in WEZ +1. Es ist jetzt 17:22 Uhr. |
Copyright ©2000-2025, Trojaner-Board