Trojaner-Board

Trojaner-Board (https://www.trojaner-board.de/)
-   Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)
-   -   Virus lässt sich nit löschen (https://www.trojaner-board.de/17143-virus-laesst-nit-loeschen.html)

Laure 27.04.2005 20:36
Virus lässt sich nit löschen
 
Hola!

Mein Bruder hat das Problem, dass er im IE wohl einen Virus hat. Somit wird er von der Firewall auch nit ins Netz gelassen. Mittlerweile ist es wohl so, dass er gar nicht mehr ins Netz kommt und somit kann ich euch auch keinen Log posten - zumindest vorläufig.

Die infizierte Datei lässt sich löschen, wird aber im 2. Durchgang sofort wiedererkannt. Im abgesicherten Modus wird sie nciht gefunden.

Laut dem Virenscanner geht es um ein Objekt namens: S-1-5-21- ..../software/Microsoft/windows/current Version/policies/explorer

Zudem wird gesagt: "Rootkey is HKEY_USERS in Reg Data

Wie bekommt er es weg?

Laure

AoH|Tharall 27.04.2005 20:41
Als erstes klemm ma das Internet deines Bruders ab! Dann mach das HJT-Logfile auf eine Diskette oder USB-Stick und schick sie.

Laure 27.04.2005 21:01
Hmm, des kann dauern, weil er wohnt nit hier. aber is ne Idee, danke dir.

auf hoffentlich bald,

Laure

AoH|Tharall 27.04.2005 21:05
Oder installier halt irgendwie (keine Ahnung wie) Firefox bei ihm und guck ob es dann geht...

Viel Glück :daumenhoc

Haui45 27.04.2005 21:06
Um welchen Eintrag handelt es sich genau?

Laure 28.04.2005 21:08
Voilà:

Logfile of HijackThis v1.99.1
Scan saved at 21:41:21, on 27.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\unigraphics\Unigraphics NX 2.0\UGFLEXLM\UGNXFLEXlm\lmgrd.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\Programme\unigraphics\Unigraphics NX 2.0\UGFLEXLM\UGNXFLEXlm\uglmd.exe
C:\Dokumente und Einstellungen\Brand\Eigene Dateien\HijackThis.exe
C:\WINDOWS\System32\wuauclt.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ie2cltr.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Programme\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O16 - DPF: {11010101-1001-1111-1000-110112345678} - ms-its:mhtml:file://C: oo.mht!http://superprogdownload.com/downloa....chm::/win.exe
O16 - DPF: {11111111-1111-1111-1111-111191113457} - file://c:\ied_s7.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9A5A7DB-0A03-4A03-8383-11FD5702228B}: NameServer = 69.50.176.156,195.225.176.31
O18 - Protocol: bw+0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw+0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw-0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw00s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw10s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw20s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw30s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw40s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw50s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw60s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw70s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw80s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bw90s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwa0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwb0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwc0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwd0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwe0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwf0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O18 - Protocol: bwg0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwg0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwh0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwi0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwj0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwk0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwl0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwm0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwn0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwo0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwp0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwq0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwr0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bws0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwt0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwu0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwv0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bww0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwx0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwy0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: bwz0s - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O18 - Protocol: offline-8876480 - {D20D4CB4-69BB-4BF2-8A8E-18E473D04171} - C:\Programme\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll
O19 - User stylesheet: (file missing)
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Unigraphics License Server (uglmd) - Macrovision Corporation - C:\Programme\unigraphics\Unigraphics NX 2.0\UGFLEXLM\UGNXFLEXlm\lmgrd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Cidre 28.04.2005 22:03
Hallo Laure,

dein Bruder soll man folgendes ausführen:

Das eScan AntiVirus Toolkit Utility (mwav.exe) herunterladen, die Datei in den von dir erstellten Ordner "c:\bases_x" (wichtig !) entpacken und danach die "kavupd.exe" (Update) ausführen.

Wechsle in den abgesicherten Modus und fixe diese Einträge (Haken setzen und auf Fix Checked klicken):
Zitat:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = localhost
O3 - Toolbar: SearchToolbar - {08BEC6AA-49FC-4379-3587-4B21E286C19E} - C:\WINDOWS\System32\ie2cltr.dll
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Alle O16, O18 und O19
Lösche diese Dateien:
C:\WINDOWS\System32\ie2cltr.dll

- mit eScan AntiVirus scannen (den Scanner mit der "mwavscan.com" starten. Alle Häkchen setzen und "Scan" klicken.) und die Malware manuell entfernen
- Neustart
- dein System updaten
- IE sicherer konfigurieren und nur noch für das Windows Update benutzen
- Sichere und komfortablere Browser wie z.B. die Mozilla Suite oder Firefox verwenden
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten [1].

[1] Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt [1] der automatisch erstellten C:\eScan_neu.txt hier posten.

[1] Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen).

Laure 29.04.2005 21:23
Voilà, das neue Log:

Logfile of HijackThis v1.99.1
Scan saved at 21:40:13, on 29.04.2005
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE
C:\WINDOWS\System32\nvsvc32.exe
C:\Programme\unigraphics\Unigraphics NX 2.0\UGFLEXLM\UGNXFLEXlm\lmgrd.exe
C:\Programme\unigraphics\Unigraphics NX 2.0\UGFLEXLM\UGNXFLEXlm\uglmd.exe
C:\Dokumente und Einstellungen\Brand\Eigene Dateien\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://web.de
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKCU\..\Run: [LDM] C:\Programme\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Programme\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Recherche-Assistent - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Programme\Gemeinsame Dateien\Microsoft Shared\Encarta Researcher\EROPROJ.DLL
O17 - HKLM\System\CCS\Services\Tcpip\..\{E9A5A7DB-0A03-4A03-8383-11FD5702228B}: NameServer = 69.50.176.156,195.225.176.31
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\PROGRA~1\GEMEIN~1\SONYSH~1\AVLib\Sptisrv.exe
O23 - Service: Unigraphics License Server (uglmd) - Macrovision Corporation - C:\Programme\unigraphics\Unigraphics NX 2.0\UGFLEXLM\UGNXFLEXlm\lmgrd.exe

Das Ergebnis von Escan kposte ich morgen, hab es noch nicht.

Ausserdem kann er den Trojaner in der Datei c:\recycler nicht löschen, da er keinen Zugriff auf die Datei hat. er kann sie auch nicht löschen.

Hmmm.

Laure

cronos 29.04.2005 21:28
Zitat:
Zitat von Cidre
- neues Log-File von HiJackThis und die Virus Log Information von eScan posten [1].

[1] Rechtsklick auf die Find.bat -> Ziel speichern unter… z.B. 'C:\Find.bat' -> Find.bat doppelklicken und den Scan abwarten -> den Inhalt [1] der automatisch erstellten C:\eScan_neu.txt hier posten.

[1] Strg+A (alles markieren) -> Strg+C (kopieren) -> Strg+V (hier in den Thread einfügen).

Hast du die Anleitung von Cidre genau befolgt?
So solltest du ohne Probleme die Log Datei senden können.

Laure 29.04.2005 21:30
Ich mach es doch nit, mein Bruder tut es. Ja, hab eben mit ihm telefoniert, er hat das mit dem find.bat nicht gemacht - Dickkopf.

Ich poste es morgen, wenn er es mir erneut geschickt hat, diesmal hoffentlich richtig.

Bis dann und gute Nacht,

Laure

Laure 30.04.2005 10:20
Voilà:

Funde für "infected"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Apr 29 20:40:27 2005 => File C:\WINDOWS\System32\ipdnssec6.exe infected by "Trojan.Win32.DNSChanger.k" Virus. Action Taken: No Action Taken.
Fri Apr 29 20:40:53 2005 => File C:\WINDOWS\System32\mssrg.dll infected by "Trojan-Downloader.Win32.Agent.hz" Virus. Action Taken: No Action Taken.
Fri Apr 29 20:41:21 2005 => File C:\WINDOWS\System32\sesmgr.exe infected by "Trojan-Clicker.Win32.Small.fr" Virus. Action Taken: No Action Taken.
Fri Apr 29 20:43:24 2005 => Scanning File C:\Dokumente und Einstellungen\Brand\Eigene Dateien\Eigene Musik\barthez - infected.mp3 [**]
Fri Apr 29 20:45:09 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Apr 29 20:51:21 2005 => File C:\RECYCLER\S-1-5-21-436374069-746137067-682003330-1003\Dc2.exe infected by "Trojan.Win32.DNSChanger.k" Virus. Action Taken: No Action Taken.
Fri Apr 29 20:51:21 2005 => File C:\RECYCLER\S-1-5-21-436374069-746137067-682003330-1003\Dc3.dll infected by "Trojan-Downloader.Win32.Agent.hz" Virus. Action Taken: No Action Taken.
Fri Apr 29 20:51:21 2005 => File C:\RECYCLER\S-1-5-21-436374069-746137067-682003330-1003\Dc4.exe infected by "Trojan-Clicker.Win32.Small.fr" Virus. Action Taken: No Action Taken.
Fri Apr 29 20:58:46 2005 => File C:\System Volume Information\_restore{FA882E45-8BA1-45AE-A7A7-9FCE2E825E45}\RP5\A0003529.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
Fri Apr 29 20:58:54 2005 => File C:\System Volume Information\_restore{FA882E45-8BA1-45AE-A7A7-9FCE2E825E45}\RP6\A0004827.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.h" Virus. Action Taken: No Action Taken.
Fri Apr 29 21:06:34 2005 => Total Disinfected Files: 0
Fri Apr 29 21:12:19 2005 => Total Disinfected Files: 0
Fri Apr 29 21:19:16 2005 => Scanning File C:\Dokumente und Einstellungen\Brand\Eigene Dateien\Eigene Musik\barthez - infected.mp3 [**]
Fri Apr 29 21:21:10 2005 => Scanning Folder: C:\Programme\AVPersonal\INFECTED\*.*
Fri Apr 29 21:29:34 2005 => File C:\RECYCLER\S-1-5-21-436374069-746137067-682003330-1003\Dc2.exe infected by "Trojan.Win32.DNSChanger.k" Virus. Action Taken: No Action Taken.
Fri Apr 29 21:29:34 2005 => File C:\RECYCLER\S-1-5-21-436374069-746137067-682003330-1003\Dc3.dll infected by "Trojan-Downloader.Win32.Agent.hz" Virus. Action Taken: No Action Taken.
Fri Apr 29 21:29:34 2005 => File C:\RECYCLER\S-1-5-21-436374069-746137067-682003330-1003\Dc4.exe infected by "Trojan-Clicker.Win32.Small.fr" Virus. Action Taken: No Action Taken.
Fri Apr 29 21:28:12 2005 => File C:\System Volume Information\_restore{FA882E45-8BA1-45AE-A7A7-9FCE2E825E45}\RP5\A0003529.exe infected by "not-a-virus:AdWare.Msnagent.a" Virus. Action Taken: No Action Taken.
Fri Apr 29 21:28:21 2005 => File C:\System Volume Information\_restore{FA882E45-8BA1-45AE-A7A7-9FCE2E825E45}\RP6\A0004827.dll infected by "not-a-virus:AdWare.ToolBar.SBSoft.h" Virus. Action Taken: No Action Taken.
Fri Apr 29 21:35:11 2005 => Total Disinfected Files: 0
Fri Apr 29 21:43:29 2005 => Total Disinfected Files: 0
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Funde für "tagged"
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Apr 29 20:55:36 2005 => File C:\Spiele\hl\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
Fri Apr 29 21:32:35 2005 => File C:\Spiele\hl\hltv.exe tagged as not-a-virus:RiskWare.Proxy.Hltv. No Action Taken.
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Statistiken:
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
Fri Apr 29 21:06:34 2005 => Total Virus(es) Found: 9
Fri Apr 29 21:12:19 2005 => Total Virus(es) Found: 0
Fri Apr 29 21:35:11 2005 => Total Virus(es) Found: 6
Fri Apr 29 21:43:29 2005 => Total Virus(es) Found: 0
Fri Apr 29 21:06:34 2005 => Total Errors: 101
Fri Apr 29 21:12:20 2005 => Total Errors: 0
Fri Apr 29 21:35:11 2005 => Total Errors: 100
Fri Apr 29 21:43:29 2005 => Total Errors: 0
Fri Apr 29 21:06:34 2005 => Time Elapsed: 00:26:46
Fri Apr 29 21:12:20 2005 => Time Elapsed: 00:00:03
Fri Apr 29 21:35:11 2005 => Time Elapsed: 00:26:50
Fri Apr 29 21:43:29 2005 => Time Elapsed: 00:02:24
Fri Apr 29 21:06:34 2005 => Total Objects Scanned: 49561
Fri Apr 29 21:12:19 2005 => Total Objects Scanned: 14
Fri Apr 29 21:35:11 2005 => Total Objects Scanned: 49625
Fri Apr 29 21:43:29 2005 => Total Objects Scanned: 3638
Fri Apr 29 20:38:06 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:06:34 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:12:20 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:12:21 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:15:05 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:35:11 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:39:47 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:40:54 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:43:29 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:45:00 2005 => Virus Database Date: 2005/04/29
Fri Apr 29 21:49:42 2005 => Virus Database Date: 2005/04/29

Cidre 30.04.2005 10:30
Systemwiederherstellung deaktivieren -> wechsle in den abgesicherten Modus -> alle 'infected Funde' manuell löschen [1] -> Neustart -> Systemwiederherstellung bei Bedarf wieder aktivieren -> neues Log-File posten.

[1] Lade KillBox und kopiere den Pfad der Malware Datei z.B. C:\WINDOWS\System32\ipdnssec6.exe -> füge diesen in KillBox ein -> wähle die Option "Delete on reboot" -> rotes X anklicken -> die zwei folgenden Fragen mit JA und NEIN beantworten -> nächsten Pfad einfügen usw. -> wenn du bei der letzten Datei angekommen bist, dann beantworte beide Fragen mit 'Ja' und ein Neustart deines Systems wird durchgeführt.

Laure 30.04.2005 20:05
So alles ausgeführt! Lässt dich mit sämtlichen Scanprogrammen kein Trojaner Virus etc. finden. Irgendwie lässt sich jetzt aber mit dem Find.bat kein neuer Log erstellen, scheint aber auch nicht mehr nötig zu sein....
Danke an alle die geholfen haben....

HAb jetzt Zone Alarm installiert und da will immer so ein komischer Host der sehr komisch aussieht zugreifen. ich gehe auf verweigern, und jetzt sagt mir die Firewall, dass sie mir den TCP Port sperrt oder so ähnlich. Ich kann dann zwar ins Internet aber der Browser findet keine Seiten mehr... Woran liegt das???


Alle Zeitangaben in WEZ +1. Es ist jetzt 09:44 Uhr.

Copyright ©2000-2025, Trojaner-Board


Search Engine Optimization by vBSEO ©2011, Crawlability, Inc.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 62 63 64 65 66 67 68 69 70 71 72 73 74 75 76 77 78 79 80 81 82 83 84 85 86 87 88 89 90 91 92 93 94 95 96 97 98 99 100 101 102 103 104 105 106 107 108 109 110 111 112 113 114 115 116 117 118 119 120 121 122 123 124 125 126 127 128 129 130 131