Trojaner-Board - Toolbar Webbroser

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Toolbar Webbroser (https://www.trojaner-board.de/19725-toolbar-webbroser.html)

Toolbar Webbroser

Hallo,

ich hatte zwei Trojaner auf meinem Pc, kann auch sein das diese zusammengehörten. Einen konnte ich entfernen mit Hilfe von Highjack und Foren.
Doch diese Toolbar ist geblieben... Sie wird aber bei Highjack gar nicht angezeigt. Ich habe meinen bericht gescannt und highja2 gefährliche Dateien gefunden.
Bei Spionfrei is aber ncoh diese Toolbar zurück geblieben. Als Ort wird angegeben: Toolbar WebBrowser/{825CF5BD-8862-4430-B771-0C15C5CA8DEF}

Wo soll ich suchen? was soll ich machen?
Danke im voraus

Hallo Tobi

dann erstelle mal ein Hijack This Logfile und poste es mittels copy&paste:Direktdownload hier Denk bitte daran, damit das Programm Hijack This in einem neuen Ordner unter C: laufen sollte, siehe dazu auch Cidres Anleitung

Wichtig: in HJT Log-Files sollten aktive Links und persönliche Informationen editiert werden.
Z.B.:http:// in h**p:// und C:\Dokumente und Einstellungen\***\Eigene Dateien\hijackthis\1.99.1\HijackThis.exe

Hallo,

Zitat:

Als Ort wird angegeben: Toolbar WebBrowser/{825CF5BD-8862-4430-B771-0C15C5CA8DEF}

Entferne diesen Reg Key manuell aus dieser Registry:
Start -> Ausführen -> regedit eingeben -> OK
Navigiere nun zu HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser| und entferne {825CF5BD-8862-4430-B771-0C15C5CA8DEF}.

Ebenso solltest du auch diese Einträge und wenn sie existent sind, löschen:

Zitat:

HKEY_CLASSES_ROOT\CLSID\{825CF5BD-8862-4430-B771-0C15C5CA8DEF}
HKEY_LOCAL_MACHINE\software\microsoft\internet explorer\toolbar\{825cf5bd-8862-4430-b771-0c15c5ca8def}

Quelle: http://www3.ca.com/securityadvisor/p...x?id=453090724

Danach zur Sicherheit, wie von Gigamail beschrieben, ein HJT Log-File posten.

Danke euch. Hab alles gelöscht.

Ach ncoh was... Diese toolbar wurde im log nciht als gefährlich angezeigt. um genau zu sein... sie wurde gar nciht angezeigt. ich habe nur einen trojaner check gemacht.dort wurde sie aufgelistet. un es haben soichöfterse verschiedene pop ups geöffnet. wo stand :
möglicher weise spyware klickens ie jetzt oke. Es war dieser link http://e.rn11.com (ich weiß nciht ob es gut ist drauf zu klicken...)

Na, die Webseite AUF KEINEN FALL anklicken. Ist nach Google-Recherche ein Dialer.

Ein deutlicher Grund, um nun Gigamails Hinweisen zu folgen und hier ein Logfile einzustellen.

Ich hoffe mal, Du hast eine DSL-Verbindung zu I-Net?!?

Das mit der Logfile war das erste was ich gemacht hab. Dort wurde nur 1 Trojaner erkannt. Denn konnte ich entfernen. Ich habe ein Programm mit dem man Trojaner usw erkennen kann "SpionFrei" dieses hat einen weiteren erkannt. Toolbar usw..
Ich bekomme aber immernoch diese Pop ups. Soll ich die nun ignorieren mit Hilfe von Popwall+?

Wenn du wirklich Hilfe erwartest, dann mußt du uns auch mehr Informationen zur Verfügung stellen und den Anweisungen Folge leisten...

Welchen Trojaner hast du wie entfernt?
HJT Log-File unter Berücksichtigung aller Hinweise posten
Virus Log Information von eScan posten

danke schon alles gefunden. da war noch ein unbekanntes programm bei dem log Logfile of HijackThis v1.99.1
Scan saved at 13:14:10, on 11.07.2005
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\LEXBCES.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\LEXPPS.EXE
C:\WINDOWS\Explorer.EXE
C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
C:\Programme\SinEspias\no-spy.exe
C:\Programme\Messenger\msmsgs.exe
C:\Programme\Gemeinsame Dateien\Microsoft Shared\Works Shared\wkcalrem.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Programme\Teamspeak2_RC2\TeamSpeak.exe
C:\Programme\PopWall\PopWall.exe
C:\Programme\Internet Explorer\iexplore.exe
C:\Dokumente und Einstellungen\Ingold\Desktop\highjackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
O4 - HKLM\..\Run: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -minimize
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Programme\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [stnospy] C:\Programme\SinEspias\no-spy.exe /autorun
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [PopWall] C:\Programme\PopWall\PopWall.exe
O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitevdp32.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot
O4 - Global Startup: Erinnerungen in Microsoft Works-Kalender.lnk = ?
O4 - Global Startup: Microsoft Office.lnk = C:\Programme\Microsoft Office\Office10\OSA.EXE
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.5.0_02\bin\npjpi150_02.dll
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Programme\ICQLite\ICQLite.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - O16 - DPF: {4C39376E-FA9D-4349-BACC-D305C1750EF3} (EPUImageControl Class) - [O17 - HKLM\System\CCS\Services\Tcpip\..\{F6F2B1D6-D265-477A-83FA-19A3E2353498}: NameServer = 192.168.2.1
O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

das hab cih gefixt und nun ist alles im grünen bereich.
noch mal danke an alle die geholfen haben.

Fixe diese Einträge noch:

Zitat:

O4 - HKLM\..\Run: [checkrun] C:\windows\system32\elitevdp32.exe
O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

Die beiden o.g. Dateien hast du sicherlich auch schon gelöscht, oder?

btw:
Editiere deine aktiven Links in deinem HJT Log-File!

Die beiden Datein hab ich gelöscht. O.g. Datein? Wie mach cih das?
oke werd mcih für nächstes mal dran halten an das editierend er links.

Wie machst du was?
Die oben genannten Dateien fixen oder löschen?

Ingold, es wäre nicht schlecht, wenn du jetzt schon deine Links und deine persönlichen Infos editieren würdest, denn die Anleitung wurde von mir nicht ohne Grund geschrieben.
http://www.trojaner-board.de/showthread.php?t=17493

Mir war nur unklar was o.g. heißt. hab aber alle was ihr gepostet habt acuh so ausgeführt

Hallo,
nochmal ne andre frage welche virenscanner bzw firewalls würdet ihr empfehlen zu kaufen. ich habe zwar einen router aber anscheinend ist diese rnciht so sciher wie cih gedacht habe. was benutzt ihr?

ich hab noch ein problem. diese ervice datei kann wegen kritischem üprozes nciht beendet werden diese löst aber alles aus gibts keinen weg sie zu löschen auszuhsclaten?