|
Trojaner an Bord... Habe einen oder mehrere Trojaner auf der Platte. Habe etliche scanner rüberlaufen lassen und versucht, die Dinger zu entfernen. Mein IE gibt keine google-Suchergebnisse mehr aus, werde immer weitergelinkt zu http://61.131.54.618.cc/search.php?q...arch&aid=A0001 . Angezeigt wurden verschiedene versionen vom downloader-trojan.win32.... Wie krieg ich das wieder hin? Mozilla läuft noch... MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106) Running processes: C:\WINNT\System32\smss.exe C:\WINNT\system32\winlogon.exe C:\WINNT\system32\services.exe C:\WINNT\system32\lsass.exe C:\WINNT\system32\svchost.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe C:\WINNT\system32\spoolsv.exe d:\eScan\TRAYSSER.EXE C:\WINNT\System32\svchost.exe C:\WINNT\SYSTEM32\GEARSEC.EXE d:\eScan\avpm.exe C:\apache\mysql\bin\mysqld-nt.exe D:\Norton AntiVirus\IWP\NPFMntor.exe D:\NORTON~2\NORTON~1\NPROTECT.EXE C:\WINNT\system32\nvsvc32.exe c:\apache\APACHE.EXE C:\WINNT\system32\regsvc.exe C:\WINNT\system32\MSTask.exe c:\apache\APACHE.EXE D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE C:\WINNT\system32\stisvc.exe C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe C:\WINNT\System32\WBEM\WinMgmt.exe C:\WINNT\system32\svchost.exe C:\WINNT\System32\locator.exe C:\WINNT\Explorer.EXE C:\Programme\Gemeinsame Dateien\Symantec Shared\SymTray.exe C:\WINNT\system32\SiSAudUt.exe D:\eScan\TRAYICOS.EXE D:\eScan\AVPMWrap.EXE C:\WINNT\system32\internat.exe C:\WINNT\system32\rundll32.exe D:\eScan\MAILDISP.EXE d:\eScan\MAILSCAN.EXE D:\eScan\SPOOLER.EXE d:\eScan\kavss.exe D:\eScan\AvpM.exe D:\1&1 Internet\Profi-Dialer\ProfiDialer.exe C:\Programme\Internet Explorer\iexplore.exe D:\Mozilla1.7\mozilla.exe D:\PMAIL\winpm-32.exe D:\eScan\eScanWin.exe D:\eScan\kavss.exe D:\WinRAR\WinRAR.exe C:\DOKUME~1\ADMINI~1\LOKALE~1\Temp\Rar$EX00.682\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.de/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.1und1.de/Herzlich_Willkommen/b1/ R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer bereitgestellt von 1 & 1 Internet AG O2 - BHO: (no name) - {00000010-6F7D-442C-93E3-4A4827C2E4C8} - (no file) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - d:\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\SPYBOT~1\SDHelper.dll O2 - BHO: Explorer Class - {962F12AE-2773-4BEB-99EA-B5C3AB9A6606} - C:\WINNT\system32\DSMANA~1.DLL O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programme\google\googletoolbar2.dll O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - d:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - D:\Norton AntiVirus\NavShExt.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - d:\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\system32\msdxm.ocx O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programme\google\googletoolbar2.dll O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - D:\Norton AntiVirus\NavShExt.dll O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [Synchronization Manager] mobsync.exe /logon O4 - HKLM\..\Run: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtray.exe SetReg O4 - HKLM\..\Run: [SiS7012Utility] C:\WINNT\system32\SiSAudUt.exe -vxd O4 - HKLM\..\Run: [Symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe O4 - HKLM\..\Run: [MailScan Dispatcher] "d:\eScan\LAUNCH.EXE" O4 - HKLM\..\Run: [eScan Updater] d:\eScan\TRAYICOS.EXE /App O4 - HKLM\..\Run: [eScan Monitor] d:\eScan\AVPMWrap.EXE O4 - HKLM\..\RunOnce: [SymTray - Norton SystemWorks] C:\Programme\Gemeinsame Dateien\Symantec Shared\Symtrdr.exe O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present O8 - Extra context menu item: &Google Search - res://C:\Programme\Google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Im Cache gespeicherte Seite - res://C:\Programme\Google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Verweisseiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Ähnliche Seiten - res://C:\Programme\Google\GoogleToolbar1.dll/cmsimilar.html O10 - Broken Internet access because of LSP provider 'mwtsp.dll' missing O14 - IERESET.INF: START_PAGE_URL=http://www.1und1.de/Herzlich_Willkommen/b1/ O16 - DPF: {00000000-0000-0000-0000-000020040000} - http://deposito.hostance.net/dialer/1066732.exe O16 - DPF: {031B6D43-CBC4-46A5-8E46-CF8B407C1A33} - http://qck.cc/x/ipreg32.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{552F107B-691F-467E-A7D6-844821C77B6E}: NameServer = 217.237.151.33 217.237.149.225 O17 - HKLM\System\CCS\Services\Tcpip\..\{7CCB236F-25F6-4612-B749-41FE7C5E43AB}: NameServer = 192.168.122.252,192.168.122.253 O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccPwdSvc.exe O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\ccSetMgr.exe O23 - Service: AVM FRITZ!web Routing Service - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe O23 - Service: Verwaltungsdienst für die Verwaltung logischer Datenträger - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe O23 - Service: eScan Server-Updater - MWTI2 - d:\eScan\TRAYSSER.EXE O23 - Service: GEARSecurity - GEAR Software - C:\WINNT\SYSTEM32\GEARSEC.EXE O23 - Service: eScan Monitor Service - Kaspersky Labs. - d:\eScan\avpm.exe O23 - Service: MySql - Unknown - C:/apache/mysql/bin/mysqld-nt.exe O23 - Service: Norton AntiVirus Firewall Monitor Service - Symantec Corporation - D:\Norton AntiVirus\IWP\NPFMntor.exe O23 - Service: Norton Unerase Protection - Symantec Corporation - D:\NORTON~2\NORTON~1\NPROTECT.EXE O23 - Service: NVIDIA Driver Helper Service - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe O23 - Service: PHPGeekUtil - Unknown - c:\apache\APACHE.EXE O23 - Service: SAVScan - Symantec Corporation - D:\Norton AntiVirus\SAVScan.exe O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\PROGRA~1\GEMEIN~1\SYMANT~1\SCRIPT~1\SBServ.exe O23 - Service: Symantec Network Drivers Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SNDSrvc.exe O23 - Service: Symantec SPBBCSvc - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\SPBBC\SPBBCSvc.exe O23 - Service: Speed Disk service - Symantec Corporation - D:\NORTON~2\NORTON~1\SPEEDD~1\NOPDB.EXE O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\CCPD-LC\symlcsvc.exe O23 - Service: SymWMI Service - Symantec Corporation - C:\Programme\Gemeinsame Dateien\Symantec Shared\Security Center\SymWSC.exe Wäre schön, wenn jmd. helfen könnte... |
@ Robbe --> Überprüfe Deinen Rechner mit dem eScan. Erstelle für den eScan einen neuen Ordner (=Verzeichnis) "bases" auf "c:\". Lade den eScan runter, entpacke ihn mit einem Zip-Programm in diesen neuen Ordner. Beachte dazu die Anleitung. Update den eScan online (siehe Anleitung) und führe ihn offline im abgesicherten Modus aus. Der eScan braucht ca 1 Stunde. Die gefundenen Viren werden von hand gelöscht. Wir geben am Forum Anleitung dazu. Teile uns bitte mit: wieviel Viren auf Deinem Rechner gefunden wurden - es sieht so aus: =>Total Number of Files Scanned: =>Total Number of Virus(es) Found: ***** Scanning complete. ***** Wie die Viren heißen, möchten wir auch wissen: "öffne die mwav.log (oder die mwXface.log) -> Bearbeiten -> Suchen -> infected eingeben -> Weitersuchen -> Treffer markieren/kopieren und ins Forum übertragen." (Cidre zitiert) |
File C:\WINNT\webdlg32.dll tagged as not-a-virus:AdWare.ToolBar.SBSoft.g. No Action Taken. File C:\Dokumente und Einstellungen\Robbe\Lokale Einstellungen\Temp\sahagent.exe tagged as not-a-virus:AdWare.Sahat.h. No Action Taken. File C:\WINNT\webdlg32.dll tagged as not-a-virus:AdWare.ToolBar.SBSoft.g. No Action Taken. Was nu? |
@Robbe editiere bitte deinen link im ersten posting wenn das alles war was escan gefunden hat(wundert mich, hatte wesentlich mehr erwartet) , File C:\WINNT\webdlg32.dll tagged as not-a-virus:AdWare.ToolBar.SBSoft.g. No Action Taken. File C:\Dokumente und Einstellungen\Robbe\Lokale Einstellungen\Temp\sahagent.exe tagged as not-a-virus:AdWare.Sahat.h. No Action Taken. File C:\WINNT\webdlg32.dll tagged as not-a-virus:AdWare.ToolBar.SBSoft.g. No Action Taken. dann kannst du diese dateien in den abgesicherten modus bei deaktivierte systemwiederherstellung manuell löschen, danach neu booten. chaosman |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 18:06 Uhr. |
Copyright ©2000-2025, Trojaner-Board