|
TR/Drop.Delf.DJ.4 und TR/Agent.AB!! Wie löschen?? Hallo!! Ich hab da ein kleines Problemchen mit einem Trojaner!! Mein Vierenscanner (AntiVir Guard das im Hindergrund läuft) hat Trojaner entdeckt und zeigt folgende Reportdatei an: 28.07.2004,14:08:19 [WARNUNG] Ist das Trojanische Pferd TR/Agent.AB! C:\TEMP\BDL74125.EXE [INFO] Die Datei wurde gelöscht! 28.07.2004,14:11:39 [WARNUNG] Ist das Trojanische Pferd TR/Agent.AB! C:\TEMP\BDL74125.EXE [INFO] Die Datei wurde gelöscht! 28.07.2004,14:11:46 [WARNUNG] Ist das Trojanische Pferd TR/Agent.AB! C:\TEMP\BDL74125.EXE [INFO] Die Datei wurde gelöscht! 28.07.2004,14:12:04 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Delf.DJ.4! C:\TEMP\INSTALLER2.EXE [INFO] Die Datei wurde gelöscht! 28.07.2004,14:12:22 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Delf.DJ.4! C:\TEMP\INSTALLER2.EXE [INFO] Die Datei wurde gelöscht! 28.07.2004,14:12:34 [WARNUNG] Ist das Trojanische Pferd TR/Drop.Delf.DJ.4! C:\TEMP\INSTALLER2.EXE [INFO] Die Datei wurde gelöscht! Hab ich jetzt 2 Trojaner ( TR/Agent.AB und TR/Drop.Delf.DJ.4)? Die Trojaner legen immer automatisch irgendwelche .exe Dateien im Temp Ordner an die ich dann auch nicht mehr löschen kann weil sie schon wieder "weg"/"entfernt" sind. :lmaa: Wenn ich den "Richtigen" Vierenscanner über mein System laufen lasse findet er nichts, auch nach mehrmaligen neustarten nicht, nur ab und zu findet der AntiVir Guard eben diese komischen .exe Dateien im Temp Ordner und zeigt mir die obrige Reportdatei an. Wie bekomme ich die Plagegeister gelöscht? Sind die Trojaner gefährlich? :dummguck: Mein System: WinXP Danke schon mal an alle die hier Posten!! |
Hallo MR. Black, habe genau das gleiche Problem! irgendwo gab es ein Programm namens EScan, welches helfen sollte, hat es aber auch nicht. Wer hat eine Lösung? Danke Gerd mail bei peitzmeier punkt de |
Hallo Leute Hab das gleiche problem seit paar Tagen wie können wir das problem lösen?? :( :headbang: Trojanische Pferd TR/Agent.AB |
Poste bitte HijackThis-Log. |
der bösewicht lag bei mir in den c/program files/winadclient/winad.exe der ist übrigens auch bei mir im systemstart gewesen, und verbreitete die exen BDL74125.exe die ein trojanerdownloader ist und die installer1(2).exe die ein trojanerdropper ist. weg bekommen hab ich das ding mit dem testprogramm von "kaspersky anti virus"...dieser konnte ihn auch ohne probleme löschen. empfehlen würde ich auch dass ihr die winad.exe aus dem systemstart deaktiviert. |
Hallo, habe die Dateien seit geraumer Zeit im Ordner C:\temp in WIN XP. Mein Virenscanner AVG lösch die Dateien regelmäßig. Sie erscheinen jedoch immer wieder. Sind nicht los zu werden! Suche immer noch nach geeigneter Lösung. |
Hallo, hab seit geraumer Zeit das gleiche Problem. Mein Virusscanner (F-Secure Anti Virus) schlägt immer Alarm wenn bdl74125 und installer 2 sich installieren wollen und kann beide Dateien (im Temp Folder) auch richtig löschen. Doch geht am Tag darauf das gleiche wieder von vorne los. Weder F-Secure, noch Ad-Aware, noch Spybot konnten mein Problem bisher lösen. Hier mal die Logfile vom Hijack This. Vielleicht kann mir dann einer eine geeignete Lösung finden um dieses Problem zu beseitigen. Vielen Dank schon mal im Voraus, Bob Logfile of HijackThis v1.98.2 Scan saved at 14:56:36, on 12/09/2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe d:\Program Files\Ahead\InCD\InCDsrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\System32\Ati2evxx.exe d:\PROGRA~1\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE D:\Program Files\Cisco Systems\VPN Client\cvpnd.exe d:\Program Files\F-Secure\Anti-Virus\fsgk32st.exe d:\Program Files\F-Secure\Anti-Virus\FSGK32.EXE d:\Program Files\F-Secure\Anti-Virus\fssm32.exe C:\WINDOWS\System32\svchost.exe d:\Program Files\F-Secure\Common\FSMA32.EXE d:\Program Files\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe d:\Program Files\F-Secure\Common\FSMB32.EXE d:\Program Files\F-Secure\Common\FCH32.EXE d:\Program Files\F-Secure\Common\FAMEH32.EXE d:\Program Files\F-Secure\Common\FNRB32.EXE d:\Program Files\F-Secure\Common\FIH32.EXE d:\Program Files\F-Secure\Anti-Virus\fsav32.exe C:\WINDOWS\Explorer.EXE C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\AGRSMMSG.exe C:\Program Files\Synaptics\SynTP\SynTPLpr.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\Acer\Notebook Manager\almxptray.exe C:\WINDOWS\SOUNDMAN.EXE C:\Program Files\Launch Manager\QtZgAcer.EXE D:\Program Files\F-Secure\Common\FSM32.EXE C:\Program Files\Common Files\Real\Update_OB\realsched.exe C:\Program Files\Creative\Shared Files\CAMTRAY.EXE C:\Program Files\QuickTime6\qttask.exe C:\Program Files\Winad Client\Winad.exe D:\PROGRA~1\ICQ\ICQ.exe D:\Program Files\Ahead\InCD\InCD.exe C:\Program Files\Winad Client\WinClt.exe C:\Program Files\MSN Messenger\MsnMsgr.Exe C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE C:\WINDOWS\system32\ctfmon.exe D:\Program Files\Skype\Phone\Skype.exe D:\Program Files\The Weather Channel\The Weather Channel.exe C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe D:\Program Files\FinePixViewer\QuickDCF.exe d:\Program Files\Kazaa Lite K++\KazaaLite.kpp C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Program Files\Adobe\Acrobat 6.0\Reader\AcroRd32.exe C:\Program Files\Internet Explorer\IEXPLORE.EXE C:\Software\HijackThis1982.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Aa-Bob/HTT-html/HTTasbl1.htm R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = hxxp://www.acer.com R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = hxxp://www.startsmart.tv/search R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = hxxp://www.acer.com/ O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O2 - BHO: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: REALBAR - {4E7BD74F-2B8D-469E-C0FF-FD60B590A87D} - C:\PROGRA~1\COMMON~1\Real\Toolbar\realbar.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O3 - Toolbar: MSN Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program Files\MSN Toolbar\01.01.1629.0\en-us\msntb.dll O3 - Toolbar: onlineTV - {63CCAACE-9D54-4149-9085-1B3BA48D0FE2} - d:\PROGRA~1\onlineTV\OTVTOO~1.DLL O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe O4 - HKLM\..\Run: [SynTPLpr] C:\Program Files\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [SynTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [AcerNotebookManager] C:\Program Files\Acer\Notebook Manager\almxptray.exe O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LManager] C:\Program Files\Launch Manager\QtZgAcer.EXE O4 - HKLM\..\Run: [F-Secure Manager] "d:\Program Files\F-Secure\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [Mirabilis ICQ] D:\PROGRA~1\ICQ\ICQNet.exe O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [Creative WebCam Tray] C:\Program Files\Creative\Shared Files\CAMTRAY.EXE O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime6\qttask.exe" -atboottime O4 - HKLM\..\Run: [LG Flas] d:\program files\lg flashdrive tuner2.6\lg flash.exe sys_auto_run d:\Program Files\LG FlashDrive Tuner2.6 O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe O4 - HKLM\..\Run: [InCD] d:\Program Files\Ahead\InCD\InCD.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\PROGRA~1\PANICW~1\POP-UP~1\PSFREE.EXE" O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [Skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [Desktop Weather 3] D:\Program Files\The Weather Channel\The Weather Channel.exe O4 - Global Startup: BTTray.lnk = ? O4 - Global Startup: VPN Client.lnk = ? O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE O4 - Global Startup: Exif Launcher.lnk = ? O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html O8 - Extra context menu item: Translate into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - D:\PROGRA~1\ICQ\ICQ.exe O9 - Extra button: concept/design's onlineTV - {C04375E2-524D-4FAB-A75E-B507F2CB29CA} - D:\Program Files\onlineTV\onlineTV.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O12 - Plugin for .ssc: C:\WINDOWS\Downloaded Program Files\Ubizen\SmartStart\NPSmartStart32.dll O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - hxxp://public.windupdates.com/get_file.php?bt=ie&p=168d3f0c8f5ebbd0d83ee5445ae40e55469aa3fdaf24dd3540c41ee1ea302c2d59104a57d59aa8baedc40580da1dd4eb01d54f:eeba47ee03d937f4aaa2edc6fc 4885a4 O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} - hxxp://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - hxxp://a1540.g.akamai.net/7/1540/52/20030530/qtinstall.info.apple.com/bonnie/us/win/QuickTimeInstaller.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - hxxp://software-dl.real.com/15d5f698ea12de536105/netzip/RdxIE601.cab O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - https://www.dexia-bil.lu/multisecure/smartstart/Win32/SmartStartSetup.cab |
jetzt wirds ein bissl übersichtlich bei vier oder mehr verschiedenen anfragen gleicher und ähnlicher probleme. @ Mr.Black: klick hier her und leg dir diesen link am desktop (verknüpfung) http://de.bitdefender.com/scan/licence.html dann schliese den browser und geh nicht mehr ins internet. lösch temp.internetfiles, cookies löschen, verlauf leeren. leere den von dir genannten ordner TEMP woraus die meldungen her sind! dann auch den papierkorb! dann klick erst den onlinescan an den du am desktop verknüpft hast und lass dein system voll durchchecken. besten gruss rock |
@ Rock Hab das von dir beschriebene Prozedere das du Mr. Black gegeben hast genaustens verfolgt, es hat jedoch gar nix genüzt. Heut waren die Viren wieder da. Ist diese Lösung nur im Falle von Mr. Black gültig und von PC zu PC verschieden? |
E-Scan herunterladen und updaten: http://www.trojaner-board.de/42731-escan-anleitung.html Systemwiederherstellung deaktivieren: http://www.systemwiederherstellung-d...indows-xp.html Prozesse mit dem Taskmanager beenden: Winad.exe WinClt.exe Mit Hijackthis fixen (Scan/genannte Einträge markieren/"Fix checked" klicken): C:\Program Files\Winad Client\Winad.exe C:\Program Files\Winad Client\WinClt.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file:///C:/Aa-Bob/HTT-html/HTTasbl1.htm R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.startsmart.tv/search O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O2 - BHO: NLS UrlCatcher Class - {AEECBFDA-12FA-4881-BDCE-8C3E1CE4B344} - C:\WINDOWS\System32\nvms.dll O2 - BHO: CB UrlCatcher Class - {CE188402-6EE7-4022-8868-AB25173A3E14} - C:\WINDOWS\System32\mscb.dll O2 - BHO: ADP UrlCatcher Class - {F4E04583-354E-4076-BE7D-ED6A80FD66DA} - C:\WINDOWS\System32\msbe.dll O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program Files\MyWay\myBar\2.bin\MYBAR.DLL (file missing) O3 - Toolbar: onlineTV - {63CCAACE-9D54-4149-9085-1B3BA48D0FE2} - d:\PROGRA~1\onlineTV\OTVTOO~1.DLL O4 - HKLM\..\Run: [Winad Client] C:\Program Files\Winad Client\Winad.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://public.windupdates.com/get_f...aa2edc6fc4885a4 O16 - DPF: {23B7A816-3647-49D2-9756-6F41CE8F9201} - http://bins.dynamicdesktopmedia.com/cab/ddm_control.CAB O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52...meInstaller.exe O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/15d5f69...ip/RdxIE601.cab O16 - DPF: {94B964F0-45CC-11D4-9F1D-0060085C7782} (Version Class) - https://www.dexia-bil.lu/multisecur...tStartSetup.cab Boote in den abgesicherten Modus, lass E-Scan wie oben beschrieben durchlaufen, boote normal und aktiviere die Systemwiederherstellung, erstelle eine neues Log und poste es zusammen mit den Informationen über von E-Scan gefundene Schädlinge. |
Hallo, ich habe (wie viel andere hier wohl auch) oben beschriebenes Problem. 1.) habe ich mir das Programm E-Scan (von der Seite http://www.trojaner-board.de/42731-escan-anleitung.html) runter geladen. 2.) dann habe ich die Systemwiederherstellung deaktiviert. 3.) danach wollte ich die Programme "Winad.exe" und "WinClt.exe" mit dem Taskmanager beenden. Allerdings musste ich feststellen, dass diese entweder zur Zeit nicht liefen oder das sie bei mir nicht vorhanden sind. 4.) dann habe ich mit dem bei Punkt 1 heruntergeladenem Programm mein System gescannt. dabei sind Folgene Ergebinisse aufgetreten: Total Viruses Found: 4 Total Errors: 6 5.) und jetzt kommt mein eigentliches Problem. Ich wollte dann nämlich den von MountainKing besagten Schritt "Mit Hijackthis fixen" befolgen. Allerdings musste ich feststellen, dass ich nirgends wo die Option "Fix checked" auswählen kann... Was muss ich machen, damit ich diesen Trojaner eliminieren kann, bzw. was habe ich bisher falsch gemacht? Ich würde mich sehr über Hilfe freuen. Vielen dank schon einmal im Vorraus. MFG Feister-Mann |
Zitat:
Zitat:
Zitat:
|
Also welche Informationen genau? Hier habe ich jetzt erstmal die Ergebnisse mit dem eScan. File C:\PROGRA~2\WINDOW~1\SyncroAd.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken. File C:\PROGRA~2\WINDOW~1\CComm.dll infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken. File C:\PROGRA~2\WINDOW~1\WinSync.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken. File C:\PROGRA~2\WINDOW~1\SyncroAd.exe infected by "not-a-virus:AdvWare.WinAD" Virus. Action Taken: No Action Taken. Was benötigt ihr noch für Informationen? |
Poste einmal ein HijackThis-Log: www.klaffke.de |
OK, hier ist der Log. Logfile of HijackThis v1.98.2 Scan saved at 21:44:02, on 11.10.2004 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\WINDOWS\system32\Ati2evxx.exe C:\Programme\AVPersonal\AVWUPSRV.EXE C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Mixer.exe C:\Programme\AVPersonal\AVGNT.EXE C:\Program Files\Windows SyncroAd\SyncroAd.exe C:\Programme\Web_Rebates\WebRebates0.exe C:\WINDOWS\system32\ctfmon.exe C:\Programme\Psion\PsiWin\Psconsv.exe C:\Program Files\Windows SyncroAd\WinSync.exe C:\PROGRA~1\Psion\PsiWin\Elogerr.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\Web_Rebates\WebRebates1.exe C:\Programme\iPod\bin\iPodService.exe C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Philipp\Desktop\hejicksith oder o\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [AVGCtrl] "C:\Programme\AVPersonal\AVGNT.EXE" /min O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - hxxp://public.windupdates.com/get_file.php?bt=ie&p=168d3f0c8f5ebbd0d83ee5445ae40e55469aa3fdaf24dd3540c41ee1ea302c2d59104a57d59aa8baedc40580da1dd4eb01d54f:eeba47ee03d937f4aaa2edc6fc 4885a4 |
Lösche diese Ordner im abgesicherten Modus: C:\Program Files\Windows SyncroAd C:\Programme\Web_Rebates Fixe mit HijackThis dies: O4 - HKLM\..\Run: [Windows SyncroAd] C:\Program Files\Windows SyncroAd\SyncroAd.exe O4 - HKLM\..\Run: [WebRebates0] "C:\Programme\Web_Rebates\WebRebates0.exe" O8 - Extra context menu item: Web Rebates - file://C:\Programme\Web_Rebates\Sy1150\Tp1150\scri1150a.htm O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - hxxp://public.windupdates.com/get_f...aa2edc6fc4885a4 Anschließend lasse nochmal mit eScan scannen. |
soll ich bei irgendeinem von diesen vorgängen die systemwiederherstellung deaktivieren? |
Ja wunderbar. So wie's aussieht sind alle weg. Vielen Dank. Wie kommt es, dass man als Normalsterblicher solche Dinge weiß? Ist das ein Hobby oder beschäftigt ihr euch beruflich damit? Auf jeden fall nocheinmal vielen Dank! |
Hallo Feister-Mann, Systemwiederherstellung: man deaktiviert die Systemwiederherstellung um Malware zu löschen, bzw. Einträge zu fixen. Und wenn man damit fertig ist, aktiviert man die Systemwiederherstellung wieder. Zitat:
Ein bißchen Lektüre: - IE sicher konfigurieren: www.datenschutzzentrum.de. - Vorbeugende Maßnahmen: www.trojaner-info.de - Einschränktes Benutzerkonto: www.ntsvcfg.de. - www.mathematik.uni-marburg.de - faq.underflow.de SD |
@D7G bitte eröffne einen neuen Thread. Wenn du das machst, kannst du deinen Post hier löschen. |
hm ich bins mal wieder... sehr glorreich mit nem neuen alten trojaner! es erscheint die warnung: C:\TEMP\MSBB.EXE Ist das Trojanische Pferd TR/LowZones.A.2 hier ist meien hijackThis log: Logfile of HijackThis v1.99.0 Scan saved at 11:17:33, on 05.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Mixer.exe C:\Programme\D-Tools\daemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Psion\PsiWin\Psconsv.exe C:\Programme\FaJo\Timetool\TimeTool.exe C:\PROGRA~1\Psion\PsiWin\Elogerr.exe C:\Programme\ICQLite\ICQLite.exe C:\Programme\iPod\bin\iPodService.exe C:\WINDOWS\system32\svchost.exe C:\Programme\Microsoft Office\OFFICE11\OUTLOOK.EXE C:\Programme\Microsoft Office\OFFICE11\WINWORD.EXE C:\WINDOWS\System32\msiexec.exe C:\Program Files\DeskAd Service\DeskAdServ.exe C:\Program Files\DeskAd Service\DeskAdKeep.exe C:\Programme\Internet Explorer\iexplore.exe C:\Programme\AVPersonal\GUARDGUI.EXE C:\Programme\Internet Explorer\iexplore.exe C:\Dokumente und Einstellungen\Philipp\Desktop\hijackthis199\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\RunOnce: [ICQ Lite] C:\Programme\ICQLite\ICQLite.exe -trayboot O4 - Startup: Zeiterfassung.lnk = C:\Programme\FaJo\Timetool\TimeTool.exe O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - hxxp://static.windupdates.com/cab/DownloadsUnlimited/ie/bridge-c283.cab O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - hxxp://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - hxxp://asp04.photoprintit.de/microsite/1773/defaults/activex/ImageUploader3.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - hxxp://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing) würde mich freuen wenn mir jemand weiterhelfen könnte. MFG Feister-Mann |
@Feister-Mann lade dir clearprog bei clearporg.de programm starten, alle häkchen bei IE und windows setzen, löschen. diese dateien hier online überprüfen lassen C:\Program Files\DeskAd Service\DeskAdServ.exe C:\Program Files\DeskAd Service\DeskAdKeep.exe poste das ergebnis wechsle in den abgesicherten modus und fixe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing) O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/D...bridge-c283.cab neu booten ein neues HJT logfile hier posten und die ergebnisse von jotti.org chaosman |
äh ja,... da fängts bei mir schon an: clearporg.de? gemeint ist doch www.clearporg.de oder? aber die url gibts nicht... |
@Feister-Mann clearprog:headbang: sry ein verdreher chaosman |
@chaosman keine ursache thx auf jedenfall erstmal... hier die scans Service load: 0% 100% File: DeskAdServ.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) Packers detected: Analyzing... AntiVir No viruses found (0.15 seconds taken) Avast No viruses found (1.51 seconds taken) BitDefender No viruses found (0.45 seconds taken) ClamAV No viruses found (0.37 seconds taken) Dr.Web No viruses found (0.54 seconds taken) F-Prot Antivirus No viruses found (0.08 seconds taken) Kaspersky Anti-Virus No viruses found (0.66 seconds taken) mks_vir .Deskad.J04 (0.21 seconds taken) NOD32 No viruses found (0.46 seconds taken) Norman Virus Control Scanning, please wait... Statistics Last piece of malware found was TrojanDownloader.JS.gen in Virs.rar, detected by: Scanner Malware name Time taken AntiVir X 0.15 seconds Avast X 1.51 seconds BitDefender Trojan.Downloader.Small.VL 0.60 seconds ClamAV X 0.37 seconds Dr.Web Trojan.DownLoader.588 0.58 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus TrojanDownloader.JS.gen 0.80 seconds mks_vir X 0.30 seconds NOD32 X 0.42 seconds Norman Virus Control X 0.12 seconds Service statistics: 4857 files (3600 of those unique) have been uploaded & scanned since 31/12/2004, the day of the last database purge. 1081 of those 3600 files contained a virus or any other form of malware. This page has been visited 9481 times in this time period. This service managed to spot 74 pieces of malware no vendor used knew about at the time of uploading. The service also warned against 541 suspicious files without any help from scanner results. However, 12 files reported to be OK were found out to be malware later (this is checked daily). As far as can be told, all this together makes this service 99.67% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism. No I am not sitting still! For those of you interested, a new, better version of this service is being developed. Click here for a sneak peek. It is not finished. It has bugs. Please use it for testing purposes ONLY. If you have suggestions and/or comments, please send me them! Most popular malware: Rank Malware name Uploaded Last known filename 1 backdoor.rbot.gen 94 times mdm.exe 2 backdoor.agobot.3.gen 42 times gobot3.exe 3 win32:trojan-gen. {other} 35 times dtSystemMonitor.ocx 4 trojan.spy.agent.y 22 times ygggygt.exe 5 .admili 19 times AdmilliKeep.exe 6 behaveslike:win32.explorerhijack 18 times f201.exe 7 behaveslike:trojan.downloader 16 times downloader.exe 8 trojan.unremote.a 16 times RuNz.HpRot.zip 9 backdoor.win32.rbot.gen 16 times b0t.exe 10 trojan.swizzor 14 times Type_Less.exe 11 backdoor.sdbot.gen 13 times CCSEVRT.exe 12 trojan.bifrose-4 11 times new2.exe 13 bds/nocun 11 times DANGEROUS___.EXE 14 exploit.dcom-rpc.a 11 times wuaruclt.exe 15 win32.hllw.mybot.based 11 times unpacked2-encpted.exe und heir nr.2 Service load: 0% 100% File: DeskAdKeep.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) (Note: only non-destructive malware has been found. Considering the non-destructive nature of samples like these - although they can be a pain in the ass -, results will not be stored in the database.) Packers detected: UPX AntiVir No viruses found (0.61 seconds taken) Avast No viruses found (3.22 seconds taken) BitDefender No viruses found (2.01 seconds taken) ClamAV No viruses found (1.10 seconds taken) Dr.Web No viruses found (1.11 seconds taken) F-Prot Antivirus No viruses found (0.06 seconds taken) Kaspersky Anti-Virus not-a-virus:AdWare.WinAD.k (0.87 seconds taken) mks_vir .Admili (0.21 seconds taken) NOD32 No viruses found (0.43 seconds taken) Norman Virus Control No viruses found (1.17 seconds taken) Statistics Last piece of malware found was TrojanDownloader.JS.gen in Virs.rar, detected by: Scanner Malware name Time taken AntiVir X 0.15 seconds Avast X 1.51 seconds BitDefender Trojan.Downloader.Small.VL 0.60 seconds ClamAV X 0.37 seconds Dr.Web Trojan.DownLoader.588 0.58 seconds F-Prot Antivirus X 0.06 seconds Kaspersky Anti-Virus TrojanDownloader.JS.gen 0.80 seconds mks_vir X 0.30 seconds NOD32 X 0.42 seconds Norman Virus Control X 0.12 seconds Service statistics: 4859 files (3601 of those unique) have been uploaded & scanned since 31/12/2004, the day of the last database purge. 1081 of those 3601 files contained a virus or any other form of malware. This page has been visited 9482 times in this time period. This service managed to spot 74 pieces of malware no vendor used knew about at the time of uploading. The service also warned against 541 suspicious files without any help from scanner results. However, 12 files reported to be OK were found out to be malware later (this is checked daily). As far as can be told, all this together makes this service 99.67% accurate. However, since it is very well possible malware has been uploaded no scanner knows about at this time, this number is to be taken with a proper amount of skepticism. No I am not sitting still! For those of you interested, a new, better version of this service is being developed. Click here for a sneak peek. It is not finished. It has bugs. Please use it for testing purposes ONLY. If you have suggestions and/or comments, please send me them! Most popular malware: Rank Malware name Uploaded Last known filename 1 backdoor.rbot.gen 94 times mdm.exe 2 backdoor.agobot.3.gen 42 times gobot3.exe 3 win32:trojan-gen. {other} 35 times dtSystemMonitor.ocx 4 trojan.spy.agent.y 22 times ygggygt.exe 5 .admili 19 times AdmilliKeep.exe 6 behaveslike:win32.explorerhijack 18 times f201.exe 7 behaveslike:trojan.downloader 16 times downloader.exe 8 trojan.unremote.a 16 times RuNz.HpRot.zip 9 backdoor.win32.rbot.gen 16 times b0t.exe 10 trojan.swizzor 14 times Type_Less.exe 11 backdoor.sdbot.gen 13 times CCSEVRT.exe 12 trojan.bifrose-4 11 times new2.exe 13 bds/nocun 11 times DANGEROUS___.EXE 14 exploit.dcom-rpc.a 11 times wuaruclt.exe 15 win32.hllw.mybot.based 11 times unpacked2-encpted.exe bis hierhin alles kein problem. jetzt noch ne kleine frage... muss ich bei irgendeinem der folgenden vorgänge die systhemwiederherstellung deaktivieren und was soll ich bei jotti.org dann nochmal scannen? die beiden files deren scans in diesem post stehen? mfg |
@Feister-Mann wechsle in den abgesicherten modus und fixe mit HJT O4 - HKLM\..\Run: [DeskAd Service] C:\Program Files\DeskAd Service\DeskAdServ.exe O16 - DPF: {15AD4789-CDB4-47E1-A9DA-992EE8E6BAD6} - O23 - Service: Remote Packet Capture Protocol v.0 (experimental) - Unknown - %ProgramFiles%\WinPcap\rpcapd.exe (file missing) danach diese dateien manuell löschen C:\Program Files\DeskAd Service\DeskAdServ.exe C:\Program Files\DeskAd Service\DeskAdKeep.exe danach neu booten, und ein neues HJT logfile hier posten chaosman |
hier ist das log: Logfile of HijackThis v1.99.0 Scan saved at 13:56:39, on 05.01.2005 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programme\AVPersonal\AVGUARD.EXE C:\Programme\AVPersonal\AVWUPSRV.EXE C:\WINDOWS\system32\drivers\KodakCCS.exe C:\Programme\Gemeinsame Dateien\Microsoft Shared\VS7DEBUG\MDM.EXE C:\WINDOWS\Explorer.EXE C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe C:\WINDOWS\Mixer.exe C:\Programme\D-Tools\daemon.exe C:\Programme\AVPersonal\AVGNT.EXE C:\WINDOWS\system32\ctfmon.exe C:\Programme\Psion\PsiWin\Psconsv.exe C:\Programme\FaJo\Timetool\TimeTool.exe C:\PROGRA~1\Psion\PsiWin\Elogerr.exe C:\WINDOWS\system32\wuauclt.exe C:\Dokumente und Einstellungen\Philipp\Eigene Dateien\stuff\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = hxxp://www.google.de/ O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programme\D-Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [AVGCtrl] C:\Programme\AVPersonal\AVGNT.EXE /min O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - Startup: Zeiterfassung.lnk = C:\Programme\FaJo\Timetool\TimeTool.exe O4 - Global Startup: PsiWin 2.3 Verbindungsserver.lnk = C:\Programme\Psion\PsiWin\Psconsv.exe O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe O16 - DPF: {8FA9D107-547B-4DBC-9D88-FABD891EDB0A} (shizmoo Class) - hxxp://playroom.icq.com/odyssey_web11.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - hxxp://asp04.photoprintit.de/microsite/1773/defaults/activex/ImageUploader3.cab O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - hxxp://xtraz.icq.com/xtraz/activex/MISBH.cab O23 - Service: AntiVir Service - H+BEDV Datentechnik GmbH - C:\Programme\AVPersonal\AVGUARD.EXE O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AntiVir Update - H+BEDV Datentechnik GmbH, Germany - C:\Programme\AVPersonal\AVWUPSRV.EXE O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programme\iPod\bin\iPodService.exe O23 - Service: Kodak Camera Connection Software - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe |
ich kann nur empfehlen, die komplette festplatte zu formatieren. private dateien mit grosser Vorsicht sichern, das sich der trojaner überall hineinfrisst und sich überall neu schreibt. viele antivirus oder ähnliche programme erkennen ihn nicht oder der trojaner blockiert diese programme. also vorsicht ist geboten. mich hat es auch voll erwischt. |
| Alle Zeitangaben in WEZ +1. Es ist jetzt 00:40 Uhr. |
Copyright ©2000-2025, Trojaner-Board