Trojaner-Board - Virus eingefangen

Trojaner-Board (https://www.trojaner-board.de/)

- Plagegeister aller Art und deren Bekämpfung (https://www.trojaner-board.de/plagegeister-aller-art-deren-bekaempfung/)

- - Virus eingefangen (https://www.trojaner-board.de/29799-virus-eingefangen.html)

Virus eingefangen

also leute,

unzwar ich habe ungefähr vor 3 tagen glaub ich eine gefälschlte rechnung von ebay bekommen an meine e-mail adresse, und dann habe ich es entpackt und hab schon eine virusmeldung bekommen (hab AntiVir) kam übrigens eine exe. datei raus die ich natürlich nicht geöffnet habe... ja und seit dem öffnen sich wenn ich mit dem Internut verbunden bin fenster und gleichzeitg virusmeldungen von antivir... so allle 3 min. (Windows..../rmtag2.js.. Enthält Signatur des Java-Scriptvirus..) Das steht immer und ich lösche es natürlich.. hab schon komplett mein Pc durchgescannt auch mit Ad-Adware SE Personal. und die Seiten die sich autom. öffnen haben endung www.......com/tau.html.

ja und meine frage ist jetzt was ich dagegen tun kann. wie bekomme ich den scheiß wieder weg!!! bitte um Hilfe

Zitat:

Zitat von BJK1988

..ja und meine frage ist jetzt was ich dagegen tun kann..

Poste ein Hijacklog, eine Anleitung dazu findest du in meiner Signatur! Dann sehen wir weiter!

Gruß
Daniel

ok hier ist es bitte:

Logfile of HijackThis v1.99.1
Scan saved at 16:16:42, on 07.06.2006
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Programme\AntiVir PersonalEdition Classic\sched.exe
C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\Mixer.exe
C:\WINDOWS\system32\rundll32.exe
C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe
C:\Programme\HP\HP Software Update\HPWuSchd2.exe
C:\Programme\Winamp\winampa.exe
C:\Programme\MSN Messenger\msnmsgr.exe
C:\Programme\Messenger\msmsgs.exe
C:\DOKUME~1\****~1\EIGENE~1\RACLE~1\RSS~1.EXE
C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
C:\Programme\HP\Digital Imaging\bin\hpqgalry.exe
C:\WINDOWS\system32\rundll32.exe
C:\Dokumente und Einstellungen\****\Desktop\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = Google
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = fritz.box
R3 - URLSearchHook: (no name) - {95B28005-12EB-1864-EA1E-390133B078B5} - C:\WINDOWS\system32\gpgkqofj.dll
R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programme\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: kartalhan toolbar - {cea5bdf8-1388-4785-9ef4-f364b9fb2113} - C:\Programme\kartalhan\tbkar1.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [BluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [avgnt] "C:\Programme\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\HP\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [WinampAgent] C:\Programme\Winamp\winampa.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [outlook] C:\Programme\outlook\outlook.exe /auto
O4 - HKLM\..\Run: [winlog] winlog.exe
O4 - HKLM\..\Run: [keyboard] C:\\keyboard25.exe
O4 - HKLM\..\Run: [newname] C:\\newname25.exe
O4 - HKLM\..\RunServices: [winlog] winlog.exe
O4 - HKCU\..\Run: [msnmsgr] "C:\Programme\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Rlos] "C:\WINDOWS\WNSXS~1\regedit.exe" -vt ndrv
O4 - HKCU\..\Run: [rrzk] C:\PROGRA~1\GEMEIN~1\rrzk\rrzkm.exe
O4 - HKCU\..\Run: [Jfl] C:\DOKUME~1\***~1\EIGENE~1\RACLE~1\RSS~1.EXE
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programme\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Schnellstart.lnk = C:\Programme\HP\Digital Imaging\bin\hpqthb08.exe
O4 - Global Startup: ZDWLan Utility.lnk = C:\Programme\ZyDAS Technology Corporation\ZyDAS_802.11g_Utility\ZDWlan.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {4528BBE0-4E08-11D5-AD55-00010333D0AD} - C:\PROGRA~1\Yahoo!\Common\yhexbmesde.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programme\Yahoo!\Common\yinsthelper.dll
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {62475759-9E84-458E-A1AB-5D2C442ADFDE} - http://a1540.g.akamai.net/7/1540/52/20060104/qtinstall.info.apple.com/snape/us/win/QuickTimeInstaller.exe
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {990D211C-FBA4-47FB-A764-A2D7A78A79E4} (SecureLogin) - http://www.gamegarden.net/game/ggsecure.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)
O20 - AppInit_DLLs: MsgPlusLoader.dll C:\WINDOWS\system32\notepad.dll
O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\ir8ml5l11.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: AntiVir Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programme\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Service (AntiVirService) - AVIRA GmbH - C:\Programme\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Auto Power-on (AutoPower) - Unknown owner - C:\Programme\Auto Power-on\AutoPower.exe (file missing)
O23 - Service: AVM FRITZ!web Routing Service (de_serv) - AVM Berlin - C:\Programme\Gemeinsame Dateien\AVM\de_serv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programme\Gemeinsame Dateien\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Network Monitor - Unknown owner - C:\Programme\Network Monitor\netmon.exe (file missing)
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp Software GmbH - C:\Programme\TuneUp Utilities 2006\WinStylerThemeSvc.exe

Also du hast da einiges mehr im System: z.B. den hier --> Sophos
und noch ein paar andere! Meiner Meinug macht eine Bereinigung keinen Sinn mehr..

Lass trotzdem mal folgende Dateien bei Virustotal auswerten:

Code:

C:\WINDOWS\system32\gpgkqofj.dll

C:\PROGRA~1\GEMEIN~1\rrzk\rrzkm.exe

C:\WINDOWS\system32\notepad.dll

C:\WINDOWS\system32\ir8ml5l11.dll

Poste danach jeweils das Ergebnis!!!

Gruß
Daniel

Zitat:

Zitat von [Gc]Sunny

Code:

C:\WINDOWS\system32\gpgkqofj.dll

C:\PROGRA~1\GEMEIN~1\rrzk\rrzkm.exe

C:\WINDOWS\system32\notepad.dll

C:\WINDOWS\system32\ir8ml5l11.dll

Poste danach jeweils das Ergebnis!!!

Gruß
Daniel

danke daniel aber ich kenn mich halt nicht so gut aus wie du deshlab könntest du mir sagen was ich machen soll ich mein in schritten oder so

Klicke auf meinen LINK hier ---> Virustotal

Dann öffnet sich ein neues Fenster. Oben rechts auf der Seite ist ein Button --> "DURCHSUCHEN", KLICK, dann suchst du die erste Datei:
1.) C:\WINDOWS\system32\gpgkqofj.dll
2.) C:\PROGRA~1\GEMEIN~1\rrzk\rrzkm.exe
3.) C:\WINDOWS\system32\notepad.dll
4.) C:\WINDOWS\system32\ir8ml5l11.dll

gehst sofern du sie finden kannst auf öffnen, dann schliesst sich das Fenster, und neben dem Button DURCHSUCHEN ist der BUTTON --> SEND, klicken und abwarten! Kann bis zu 2 Minuten dauern... Dann wird die Datei ausgewertet! Markiere den Bildschirm Text und poste ihn in einen Beitrag! Dann nimmst du dir die 2te Datei vor usw usw usw..

Gruß

STATUS: FINISHEDComplete scanning result of "gpgkqofj.dll", received in VirusTotal at 06.07.2006, 16:44:22 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.37 06.07.2006 ADSPY/PurityScan.AK.89
Authentium 4.93.8 06.07.2006 no virus found
Avast 4.7.844.0 06.06.2006 Win32:Agent-RY
AVG 386 06.06.2006 no virus found
BitDefender 7.2 06.07.2006 no virus found
CAT-QuickHeal 8.00 06.07.2006 no virus found
ClamAV devel-20060426 06.07.2006 no virus found
DrWeb 4.33 06.07.2006 no virus found
eTrust-InoculateIT 23.72.30 06.07.2006 no virus found
eTrust-Vet 12.6.2246 06.07.2006 Win32/Clspring!generic
Ewido 3.5 06.07.2006 Adware.PurityScan
Fortinet 2.77.0.0 06.07.2006 Adware/ClickSpring
F-Prot 3.16f 06.06.2006 no virus found
Ikarus 0.2.65.0 06.07.2006 AdWare.PurityScan.AK
Kaspersky 4.0.2.24 06.07.2006 not-a-virus:AdWare.Win32.PurityScan.ak
McAfee 4778 06.06.2006 potentially unwanted program Adware-ClickSpring
Microsoft 1.1441 06.07.2006 no virus found
NOD32v2 1.1584 06.07.2006 no virus found
Norman 5.90.17 06.07.2006 W32/PurityScan.XV
Panda 9.0.0.4 06.07.2006 Adware/PurityScan
Sophos 4.06.0 06.07.2006 no virus found
Symantec 8.0 06.07.2006 no virus found
TheHacker 5.9.8.156 06.07.2006 Adware/PurityScan.ak
UNA 1.83 06.06.2006 Adware.PurityScan
VBA32 3.11.0 06.07.2006 AdWare.Win32.PurityScan.ak

Aditional Information
File size: 139264 bytes
MD5: 80b571486b4480736a933b6e1caa6209
SHA1: 0588c022a5e30ca669d29d9c39506860f8a20091

-------------------------------------------------------------------

STATUS: FINISHEDComplete scanning result of "rrzkm.exe", received in VirusTotal at 06.07.2006, 17:34:42 (CET).

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

-------------------------------------------------------------

STATUS: FINISHEDComplete scanning result of "notepad.dll", received in VirusTotal at 06.07.2006, 17:52:11 (CET).

Antivirus Version Update Result
AntiVir 6.34.1.37 06.07.2006 no virus found
Authentium 4.93.8 06.07.2006 no virus found
Avast 4.7.844.0 06.06.2006 no virus found
AVG 386 06.07.2006 no virus found
BitDefender 7.2 06.07.2006 no virus found
CAT-QuickHeal 8.00 06.07.2006 no virus found
ClamAV devel-20060426 06.07.2006 no virus found
DrWeb 4.33 06.07.2006 no virus found
eTrust-InoculateIT 23.72.30 06.07.2006 no virus found
eTrust-Vet 12.6.2246 06.07.2006 no virus found
Ewido 3.5 06.07.2006 no virus found
Fortinet 2.77.0.0 06.07.2006 no virus found
F-Prot 3.16f 06.06.2006 no virus found
Ikarus 0.2.65.0 06.07.2006 no virus found
Kaspersky 4.0.2.24 06.07.2006 no virus found
McAfee 4779 06.07.2006 no virus found
Microsoft 1.1441 06.07.2006 no virus found
NOD32v2 1.1584 06.07.2006 no virus found
Norman 5.90.17 06.07.2006 no virus found
Panda 9.0.0.4 06.07.2006 Adware/PurityScan
Sophos 4.06.0 06.07.2006 no virus found
Symantec 8.0 06.07.2006 no virus found
TheHacker 5.9.8.156 06.07.2006 no virus found
UNA 1.83 06.06.2006 no virus found
VBA32 3.11.0 06.07.2006 no virus found

Aditional Information
File size: 81920 bytes
MD5: 6905066c20fe483fafda9cfdc56364d7
SHA1: f4b9116c54484d7e3be92b0402977f972f07450e

------------------------------------------------------------------

STATUS: FINISHEDComplete scanning result of "ir8ml5l11.dll", received in VirusTotal at 06.07.2006, 18:05:51 (CET).

Antivirus Version Update Result
AntiVir n - no virus found
Authentium n - no virus found
Avast n - no virus found
AVG n - no virus found
BitDefender n - no virus found
CAT-QuickHeal n - no virus found
ClamAV n - no virus found
DrWeb n - no virus found
eTrust-InoculateIT n - no virus found
eTrust-Vet n - no virus found
Ewido n - no virus found
Fortinet n - no virus found
F-Prot n - no virus found
Ikarus n - no virus found
Kaspersky n - no virus found
McAfee n - no virus found
Microsoft n - no virus found
NOD32v2 n - no virus found
Norman n - no virus found
Panda n - no virus found
Sophos n - no virus found
Symantec n - no virus found
TheHacker n - no virus found
UNA n - no virus found
VBA32 n - no virus found

Aditional Information
File size: 0 bytes
MD5: d41d8cd98f00b204e9800998ecf8427e
SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

Hallo BJK,
das hier :

Zitat:

Adware.PurityScan

ist seeeehr hartnäckig und hochkompliziert zu entfernen.Für einen Anfänger wie du sagst,ist das zu schwer.
Setze deinen Compi neu auf.Es ist einfacher als du denkst :)
Gehe nach der Anleitung vor die oben unter "Anleitungen,FAQ,Links" zu finden ist.
Irrlicht

oh nöö.... was passiert dann werden meine Sachen alle gelöscht(datein).

kann ich des scheiß net irgendwie wegbekommen. wie meinst du das mit kompliziert... muss doch ne andere möglichkeit geben.

Hallo BJK1988,

Dein System ist mit diversen "Schadprogramme" infiziert, u.a. auch mit DIESEM Backdoor-Trojaner .
Da ist leider eine Neuinstallation unumgänglich.
Deine Dateien, sofern es keine ausführenden Dateien sind, kannst Du problemlos sichern.

dartus

@[Gc]Sunny,

wie kommst Du auf diesen Schädling (siehe Dein Sophos-Link)?
:confused:

hallo...!

ich habe das selbe problem, dass bei mir auch immer wenn ich im internet war oder bin alle paar minuten so ne meldung von antivir kommt (rmtag2... - JavaScripVirus).

Ihr habt geschrieben, es gibt noch ne möglichkeit das wegzubekommen?!
Gibts auch ne Möglichkeit ohne weitere Scanprogramme installieren zu müssen?

Danke schon mal für eine Antwort....

http://www.trojaner-board.de/archive...p/t-29799.html

http://www.trojaner-board.de/showthread.php?t=29799

ich habe eine bitte an die moderatoren.... also diesen thread könnt ihr löschen hab mein pc neu formatiert....