|
Trojan.Agent.ay So ich hab mich in diesem Forum angemeldet, da es mir recht kompetent erscheint. Das Problem ist folgendes: Mein Ewido Security Suite zeigt mir, bei jedem Systemstart an, dass eine datei in C:\Windows\system32 (dieses mal ulvfrj.exe) den oben genannten trojaner enthält, also klicke ich auf säubern 0,2 sek. später das gleiche fenster, ewido security suite kann ihn also nicht entfernen..... soweit so gut ich gehe also in system 32 und versuche die datei manuel zu entfernen nur das problem ist dass ich ihn nicht löschen kann da er von einem anderen programm benutzt wird (Oh Wunder)........ Nochmal zur datei: Sie ändert ihren namen und erstellungs datum bei jedem neustart, sie lässt sich nicht löschen, AnitVir findet sie nicht einmal, ewido security suite kann sie nicht löschen und nicht einmal Killboxermag es diesen schädling zu vernichten....... kurz mir kommt das kotzen :pukeface: (jaja ich gebs zu ich wollte nur einmal den tollen smiley ausprobieren^^) Was Kann ich also tun? |
Hallo Plöke, poste bitte ein Hijackthis-Logfile Editiere bitte alle Links und ev. persönliche Daten. dartus |
Logfile of HijackThis v1.99.1 Scan saved at 12:06:41, on 23.08.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\LEXBCES.EXE C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\Explorer.exe C:\WINDOWS\system32\LEXPPS.EXE C:\WINDOWS\SOUNDMAN.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE C:\Programme\QuickTime\qttask.exe C:\Programme\Winamp\winampa.exe C:\Programme\Ad Muncher\AdMunch.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\ewido\security suite\ewidoctrl.exe C:\Programme\ewido\security suite\ewidoguard.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\svchost.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\kernel.exe C:\Programme\T-Online\T-Online_Software_5\Basis-Software\Basis2\sc_watch.exe C:\PROGRA~1\T-Online\T-ONLI~1\BASIS-~1\Basis2\PROFIL~1.EXE C:\PROGRAMME\MOZILLA FIREFOX\FIREFOX.EXE C:\WINDOWS\system32\aqeoyq.exe C:\Programme\ewido\security suite\securitysuite.exe C:\Dokumente und Einstellungen\************\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = h**p://www.t-online.de/ F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\Nail.exe O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: LANBridge Class - {71D1708F-973D-4600-AF01-AD86688403AE} - C:\WINDOWS\system32\zcopwhap.dll (file missing) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg O4 - HKLM\..\Run: [EPSON Stylus CX3600 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P26 "EPSON Stylus CX3600 Series" /O6 "USB001" /M "Stylus CX3600" O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [Automatisch EPSON Stylus CX3600 Series auf HENDRIK] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9BE.EXE /P50 "Automatisch EPSON Stylus CX3600 Series auf HENDRIK" /O17 "\\HENDRIK\Drucker" /M "Stylus CX3600" O4 - HKLM\..\Run: [BearShare] "C:\Programme\BearShare\BearShare.exe" /pause O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe O4 - HKLM\..\Run: [Ad Muncher] C:\Programme\Ad Muncher\AdMunch.exe /bt O4 - HKLM\..\Run: [sxknnlg] C:\WINDOWS\system32\aqeoyq.exe r O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [eMuleAutoStart] C:\Programme\eMule\emule.exe -AutoStart O4 - Startup: Adobe Gamma.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Startup: Xfire.lnk = C:\Programme\Xfire\Xfire.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~3\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\OFFICE11\REFIEBAR.DLL O17 - HKLM\System\CCS\Services\Tcpip\..\{8EA3CDF0-9DA1-47A9-B00D-797B4182711A}: NameServer = 217.237.150.33 217.237.151.161 O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: AntiVir Service (AntiVirService) - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: AntiVir Update (AVWUpSrv) - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: Pinnacle Systems tvtv Spooler (EpgSpooler) - - c:\progra~1\pinnacle\mediac~1\epgspo~2.exe O23 - Service: ewido security suite control - ewido networks - C:\Programme\ewido\security suite\ewidoctrl.exe O23 - Service: ewido security suite guard - ewido networks - C:\Programme\ewido\security suite\ewidoguard.exe O23 - Service: LexBce Server (LexBceS) - Lexmark International, Inc. - C:\WINDOWS\system32\LEXBCES.EXE O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\programme\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing) So...... ich hoffe jetzt einfach mal dass ich alles richtig gemacht habe. Was ich recht interessant finde ist dass e-mule und bear share noch angezeigt werden obwohl ich sie erst neulich deinstalliert habe.... naja egal. Ps.: Der nette trojaner nennt sich jetzt amuhdq.exe.... und jetzt szstamh.exe..... und jetzt tpiucmr.exe.... und jetzt wfvwvuv.exe... und jetzt... und jetzt.... usw. [/Edit]das ganze hat sich jetzt 34 (!!!) mal wiederholt! bis der ewido security suite anscheinend aufgegeben hat....... oh gott es fängt wieder an, aber jetzt mit dem unteschied dass er sich anscheinend für den namen obdzayl.exe entschieden hat.... [/Edit] |
Hallo Plöke, das sollte Dein aktuelles Problem beheben: http://forum.hijackthis.de/showthread.php?t=3172 Verzichte zukünftig auf filesharing wie emule und Bearshare und deinstalliere die Programme. Verwende nur einen Antivir-Hintergrundwächter. Mehrere schaden eher als sie nützen und bremsen das System aus. dartus |
Hm.... das mir, von dir empfohlene Programm scheint wirklich zu funktioneren -an dieser Stelle ein herzliches Dankeschön an deine Person :daumenhoc - und zu den Filesharingprogrammen diese Virenschleudern habe ich seit dem auftauchen, der ersten Schädlinge von meinem Pc verbannt.^^ |
Hallo, Zitat:
Dann solltest Du noch diese beiden Einträge unter "04" sowie: O2 - BHO: LANBridge Class - {71D1708F-973D-4600-AF01-AD86688403AE} - C:\WINDOWS\system32\zcopwhap.dll (file missing) O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) mit Hijackthis fixen. Hier findest Du noch Lesenswertes, insbesondere die “12 Punkte”. dartus |
Diese einträge gehöhren mittlerweile, auch der Geschichte an...... an dieser Stelle möchte ich dir auch noch ein weiteres mal danken. :daumenhoc |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 22:04 Uhr. |
Copyright ©2000-2025, Trojaner-Board