Trojaner-Board - Wie werd ich diesen Trojaner los??

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Wie werd ich diesen Trojaner los?? (https://www.trojaner-board.de/18241-werd-diesen-trojaner-los.html)

Wie werd ich diesen Trojaner los??

Ich habe einen sehr hartnäkicken Trojaner auf meinem PC.
Habe auch schon mit adaware,spybot sd und antivir gescannt aber wurde trotzdem nicht behoben.
Es erscheint unten im Tray ein roter Kreis mit einem weissen x drinne.
Ausserdem kommt öfter die Meldung:
Error #317 Microsoft Windows...

und

Warning!
---- YOUR PC WILL NOT BOOT NEXT TIME WITHOUT URGENT PATCHING ----
OUR analysis shows that your PC is infected with spy software.
You have been infected with'___winSterHJK v2011.'
Your PC is now accessed through ports:
-3128
-8080
Yor private imformation is in danger.
Patch your PC immediately for free.
No money,no credit card,all downnloads are CNET certificated.
We#re the team of volunteer helping to fight with spyware.
Click OK to choose an download free spyware removal using AntiSPY.

Beim Surfen werde ich auf Erotik Seiten umgeleitet wie Zumbeispiel diese:
hxxp://www.specialgoods.info/ad/ad0415/ebony/ebony.html
hxxp://www.specialgoods.info/ad/ad0415/dating/dating.html

Ausserdem sind auf dem Desktop Symbole unter denen steht:
Britney Spears,Big tits,Blackjack,Oral Sex...
Sie werden alle fünf Minuten neu geschrieben! :mad:

Hier ist der Hijackthis Log:

Logfile of HijackThis v1.99.1
Scan saved at 10:16:35, on 25.05.2005
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AVPersonal\AVGNT.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\Programme\WinZip\WZQKPICK.EXE
C:\Programme\AVPersonal\AVGUARD.EXE
C:\Programme\AVPersonal\AVWUPSRV.EXE
C:\PROGRA~1\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\system32\netdde.exe
C:\WINDOWS\system32\clipsrv.exe
C:\DOKUME~1\CAESER~1.JUL\LOKALE~1\Temp\Rar$EX00.594\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.specialgoods.info/ad/ad0415/
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-2fe89c996183} - c:\programme\steganos internet anonym 7\sia7iep.dll (file missing)
O3 - Toolbar: Steganos Internet Anonym - {00000000-5736-4205-0008-781cd0e19f00} - c:\programme\steganos internet anonym pro 7\siapro7iep.dll
O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [SIA7] "C:\Programme\Steganos Internet Anonym 7\SIA7.exe" -boot
O4 - HKCU\..\Run: [SIAPRO7] "C:\Programme\Steganos Internet Anonym Pro 7\SIAPRO7.exe" -boot
O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE
O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE

Wäre nett wenn mir jemand helfen könnte bin echt am ende. :(

edit:
Hier sind die 4 Screenshots:
http://caeser.ca.funpic.de/spy1.JPG
http://caeser.ca.funpic.de/Spy2.JPG
http://caeser.ca.funpic.de/spy3.JPG
http://caeser.ca.funpic.de/spy4.JPG
Nicht direkt
Werde versuchen sie nochmal in besserer Qualität zu uppen!

kann mir den keiner helfen?

1) Deaktiviere die Systemwiederherstellung.
2) Lösche alle temporären Dateien, z.B. mit http://www.clearprog.de
3) Befolge die folgende Anleitung genau:
http://www.trojaner-board.com/showthread.php?t=17492

Poste die Funde mithilfe der find.bat.

Gruß :daumenhoc
Yopie

Zitat:

Zitat von Yopie

Poste die Funde mithilfe der find.bat.

Da www.media-folders.de z.Z. nicht erreichbar ist, solltest du fogendes machen:
Kopiere den folgenden Text in den Windows-Editor (Win-Taste + R-> notepad-> Enter) und speichere ihn als Find.bat (die Dateiendung .bat ist wichtig!) ab. Verfahre dann weiter nach Anleitung:

Code:

if not exist c:\bases\mwav.log goto 1

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_alt.txt

echo Funde für "infected" >> C:\eScan_alt.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt

findstr /i "infected" c:\bases\mwav.log >> C:\eScan_alt.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt

echo Funde für "tagged" >> C:\eScan_alt.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt

findstr /i "tagged" c:\bases\mwav.log >> C:\eScan_alt.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt

echo Statisktiken: >> C:\eScan_alt.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt

findstr /i "Found:" c:\bases\mwav.log >> C:\eScan_alt.txt

findstr /i "Errors:" c:\bases\mwav.log >> C:\eScan_alt.txt

findstr /i "Elapsed:" c:\bases\mwav.log >> C:\eScan_alt.txt

findstr /i "Scanned:" c:\bases\mwav.log >> C:\eScan_alt.txt

findstr /i "Date:" c:\bases\mwav.log >> C:\eScan_alt.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_alt.txt

echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_alt.txt

echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_alt.txt

:1 

if not eXist c:\bases_x\mwav.log goto 2

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ > C:\eScan_neu.txt

echo Funde für "infected" >> C:\eScan_neu.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt

findstr /i "infected" c:\bases_x\mwav.log >> C:\eScan_neu.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt

echo Funde für "tagged" >> C:\eScan_neu.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt

findstr /i "tagged" c:\bases_x\mwav.log >> C:\eScan_neu.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt

echo Statistiken: >>c:\eScan_neu.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt

findstr /i "Found:" c:\bases_X\mwav.log >> C:\eScan_neu.txt

findstr /i "Errors:" c:\bases_x\mwav.log >> C:\eScan_neu.txt

findstr /i "Elapsed:" c:\bases_x\mwav.log >> C:\eScan_neu.txt

findstr /i "Scanned:" c:\bases_x\mwav.log >> C:\eScan_neu.txt

findstr /i "Date:" c:\bases_x\mwav.log >> C:\eScan_neu.txt

echo ~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~ >> C:\eScan_neu.txt

echo ~~~~~~~ © Haui ;-) ~~~~~~~ >>C:\eScan_neu.txt

echo ~~~~~~~ Dank an Cidre ~~~~~~~ >>C:\eScan_neu.txt

:2 exit

Gruß Haui

EDIT:
@caeser
Verwende den http://www.trojaner-board.de/images/buttons/edit.gif-Button und "entschärfe" alle Links, z.B. so h**p://www.specialgoods.info/ad/ad0...ing/dating.html

Immer wenn ich die Datei versuche zu entpacken steht da archiv zerstört...
Gibs das auch als normale zip??

An alle in diesem Forum!!!!!!!!!!1
Ich habe ihn erfolgreich gelöscht.
Das Problem dürfte bei allen gleich sein.

Anleitung zum löschen Des Specialgoods.info Viruses

Die Virusdatei heißt param32.dll bei anderen Viren kann es auch anders heißen. :kloppen:
Da die Virusdatei gelockt ist kann man die datei nicht einfach ohne weiteres löschen.
SO GEHT’S

Man muss das neue AntiVir update laufen lassen.
Danach erscheint eine Meldung : Trojanisches Pferd entdeckt.
Danach zum löschen auf ja klicken.
Jetzt AntiVir beenden und einen Systemneustart vornehmen.
Somit ist der Virus gelöscht.

:snyper:
gruß meo.bald

:D :D :D :D
_____________
Anm.
Aktive Links editiert!

LG Cidre
S-Mod TB

@ meo.bald

Der Trojan-Downloader.Win32.WarSpy.g wurde auch schon damals von uns erfolgreich manuell gelöscht. ;)

Hast du das update von Antivir auf deinem PC?Dann loade es unter http://download.freenet.de/archiv_a/...tion_2957.html
Dann lass es drüberlaufen.
Die Datei heißt param32.dll.Sie ist gelockt,sprich sie kann nicht einfach so gelöscht werden.Wenns nicht klappt,dann mach es in Abgesicherten Modus. :party:
MFG meo.bald

@ meo.bald

Versteh's doch...

Ich benutze weder AntiVir noch hab ich die param32.dll auf meinem System. :rolleyes:

http://www.sophos.com/virusinfo/anal...ojwarspyd.html

Hallo,

ich habe ein Problem mit meinem Pc. Ich habe ihn mehrmals schon formatiert aber der Trojaner glaub mal ist immer noch nicht weg. Habe schon alles versucht habe fast jedes forum durchgelesen aber nichts zu meinem Problem gefunden. Nod32 und Anti Spyware haben nichts von dem Trojaner gefunden:kloppen:. Ich habe mir Gmer geholt, der fand den Trojaner ich killte der Prozess, aber der Trojaner wird nicht mehr aktiv zeigt nichts mehr an mit der Werbung, denn sonst kam immer eine Meldung "Ihr Pc ist nicht optimiert...." wenn ich auf abbreche geklickt habe kam Werbung raus. Seit ich Gmer drauf gemacht habe meldet es nichts mehr. Aber trotzdem wird der Trojaner bei dem Scan gezeigt. :headbang:Ich weiß nicht wo mein Logfile ist oder besser gesagt wo ich das her bekomme. Bitte um schnelle Hilfe