Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Hilfe Fehlermeldung!!! (https://www.trojaner-board.de/11229-hilfe-fehlermeldung.html)

Lady Babe 26.12.2004 13:56
Hilfe Fehlermeldung!!!
 
Laut meinem Antivir hatte ich mir einen Trojaner eingefangen. Mit a² konnte ich nichts finden, Antivir konnte den auch nicht löschen. Also hab ich irgendwann alle Programme gelöscht die ich nicht kenne. Dabei war auch Wildtangent.
Die Meldung von Antivir kommt nicht mehr, also muss der Trojaner doch weg sein. Jetzt kommt nach dem Start von XP ne Fehlermeldung:

C:/Programme/WildTangent/APPS/CDA/cdaEngine0400.dll
kann nicht gefunden werden

Das nervt mich total, wie bekomme ich den Mist wieder weg?

Kann mir bitte einer helffen?!

HerrKautz 26.12.2004 14:05
Hi,

poste bitte ein Log mit HijackThis hier her:

http://filepony.de/download-hijackthis/

Mach danach bitte einen escan im abgesicherten Modus,gehe dazu genau nach dieser Anleitung vor:

http://www.trojaner-board.de/42731-escan-anleitung.html

Und poste dann was ggf gefunden wurde an Viren!

Gruss

Cidre 26.12.2004 14:05
Lösche den Ordner C:/Programme/WildTangent und mit Hilfe von HiJackThis entfernst (Haken setzen und auf Fix Checked klicken) du den O4 Startaufruf der auf WildTangent verweist.

Lady Babe 26.12.2004 15:25
Logfile of HijackThis v1.99.0
Scan saved at 15:24:55, on 26.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\Dokumente und Einstellungen\Sandy\Internet Optimizer\optimize.exe
C:\Programme\Spyware Doctor\swdoctor.exe
C:\Programme\ArcorOnline\Arcor.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Sandy\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\System32\winb2s32.dll (file missing)
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\System32\winb2s32.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Patches Value] WinGasys.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Sandy\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Tsl] C:\PROGRA~1\COMMON~1\tsa\tsl.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\RunServices: [Patches Value] WinGasys.exe
O4 - HKCU\..\Run: [Patches Value] WinGasys.exe
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 3\AdBlocker.exe"
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Programme\BySoft FreeRAM\FreeRAM.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: concept/design's onlineTV - {2401551E-C8E0-4D72-9EC4-71572D79D247} - C:\Programme\onlineTV\onlineTV.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softwa...006_cracks.cab
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12d78df1...dxIE601_de.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{040E612F-01F6-42A5-B6A3-D66791DB0433}: NameServer = 195.71.204.3 193.189.244.205
O17 - HKLM\System\CS1\Services\Tcpip\..\{040E612F-01F6-42A5-B6A3-D66791DB0433}: NameServer = 195.71.204.3 193.189.244.205
O20 - AppInit_DLLs: ,
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Cidre 26.12.2004 15:31
Wechsle in den abgesicherten Modus http://www.bsi.bund.de/av/texte/wiederher_xp.htm und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.begin2search.com/sidesearch.html
R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html
O2 - BHO: ohb - {4D568F0F-8AC9-40AB-88B7-415134C78777} - C:\WINDOWS\System32\winb2s32.dll (file missing)
O3 - Toolbar: Begin2Search.com Bar - {52FE5233-367C-4EFB-BDD7-0BE4D212C107} - C:\WINDOWS\System32\winb2s32.dll (file missing)
O4 - HKLM\..\Run: [Patches Value] WinGasys.exe
O4 - HKLM\..\Run: [WildTangent CDA] RUNDLL32.exe "C:\Programme\WildTangent\Apps\CDA\cdaEngine0400.dll",cdaEngineMain
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Dokumente und Einstellungen\Sandy\Internet Optimizer\optimize.exe"
O4 - HKLM\..\Run: [Tsl] C:\PROGRA~1\COMMON~1\tsa\tsl.exe
O4 - HKLM\..\RunServices: [Patches Value] WinGasys.exe
O4 - HKCU\..\Run: [Patches Value] WinGasys.exe
O9 - Extra button: concept/design's onlineTV - {2401551E-C8E0-4D72-9EC4-71572D79D247} - C:\Programme\onlineTV\onlineTV.exe (file missing)
O16 - DPF: {386A771C-E96A-421F-8BA7-32F1B706892F} (Installer Class) - http://www.xxxtoolbar.com/ist/softw...0006_cracks.cab
O23 - Service: SmartLinkService - Unknown - slserv.exe (file missing)

Lösche diese Dateien [Windows Explorer -> "Extras/Ordneroptionen" -> "Ansicht" -> Haken entfernen bei "Geschützte Systemdateien ausblenden (empfohlen)" und "Alle Dateien und Ordner anzeigen" aktivieren -> "OK"]:

Ordner C:\Dokumente und Einstellungen\Sandy\Internet Optimizer
WinGasys.exe
Ordner C:\Programme\WildTangent

- Neustart
- neues Log-File posten

EDIT:
Da bereits ein Wurm mit Backdoor Funktionalität (W32/Rbot-GD) aktiv war, würde ich dir zu einem Neuaufsetzen deines Systems raten, siehe http://www.trojaner-board.de/showpos...28&postcount=2

Lady Babe 26.12.2004 16:20
Logfile of HijackThis v1.99.0
Scan saved at 16:17:40, on 26.12.2004
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\QuickTime\qttask.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\Dokumente und Einstellungen\Sandy\Eigene Dateien\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = www.google.de
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.de
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.de
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Arcor AG & Co. KG
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [Power Scan] C:\Programme\Power Scan\powerscan.exe
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent
O4 - HKCU\..\Run: [BlockAds] "C:\Programme\Tweak-XP Pro 3\AdBlocker.exe"
O4 - HKCU\..\Run: [BySoft FreeRAM] C:\Programme\BySoft FreeRAM\FreeRAM.exe
O4 - HKCU\..\Run: [Spyware Doctor] "C:\Programme\Spyware Doctor\swdoctor.exe" /Q
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\MSMSGS.EXE
O12 - Plugin for .pdf: C:\Programme\Internet Explorer\PLUGINS\nppdf32.dll
O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/12d78df1...dxIE601_de.cab
O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab
O20 - AppInit_DLLs: ,
O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Jetzt hab ich ne neue Fehlermeldung:

Fehler beim Laden von irprobs.cpl
Modul konnte nicht gefunden werden

??????????????

HerrKautz 26.12.2004 16:22
Hallo,

bitte beachte den Edit von Cidre!!

Du kommst um ein Neuaufsetzen von deinem System nicht rum!

Auch die Links dazu beachten!


Gruss

Lady Babe 27.12.2004 12:12
Ich hab alles gemacht, was Cidre gesagt hat. Die Fehlermeldung ist weg: Jetzt bekomm ich aber ne andere Fehlermeldung:

Fehler beim Laden von irprops.cpl.
Das Modul kann nicht gefunden werden

Was kann ich machen??

Ich möchte nicht formatieren, gibt es da keine andere Lösung!?

HerrKautz 27.12.2004 12:26
Zitat:
Zitat von Lady Babe

Ich möchte nicht formatieren, gibt es da keine andere Lösung!?
Zitat:
Zitat von Cidre

EDIT:
Da bereits ein Wurm mit Backdoor Funktionalität (W32/Rbot-GD) aktiv war, würde ich dir zu einem Neuaufsetzen deines Systems raten, siehe http://www.trojaner-board.de/showpo...228&postcount=2
Nochmals,nein,das erklären auch die Links die Cidre gepostet hat,dein Rechner ist nicht mehr vertrauenswürdig,und man kann auch nicht sagen,was sonst noch auf deinem Rechner abgelegt wurde,was wir in dem Log File nicht sehen!

Daher solltest du unbedingt neu Aufsetzen!

Lady Babe 28.12.2004 18:13
MERCI !!!!!

Hab jetzt doch mal formatiert.

Hoffentlich hab ich jetzt meine Ruhe!

HerrKautz 28.12.2004 18:14
Na dann poste doch mal ein frisches Log,hoffentlich sauber!? ;) :daumenhoc

Claude 28.02.2005 20:35
Hallo, hatte das gleiche Problem, hat bei mir perfekt funktioniert !! Vielen Dank !!!

Zitat:
Zitat von HerrKautz
Hi,

poste bitte ein Log mit HijackThis hier her:

http://filepony.de/download-hijackthis/

Mach danach bitte einen escan im abgesicherten Modus,gehe dazu genau nach dieser Anleitung vor:

http://www.trojaner-board.de/42731-escan-anleitung.html

Und poste dann was ggf gefunden wurde an Viren!

Gruss


Alle Zeitangaben in WEZ +1. Es ist jetzt 13:57 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131